Mit Anti-Debug-Enzyklopädie Malware erkennen und entfernen

Die Sicherheitsforscher von Check Point haben eine umfangreiche Bibliothek gestartet, um Fachkräfte dabei zu unterstützen, Cyber-Angriffe unschädlich zu machen.  Zu diesem Zweck ging eine Anti-Debug-Enzyklopädie ans Netz, die jedem zur Verfügung steht. Darin beschreiben die Experten gängige Anti-Debug-Tricks der neuen Windows-Versionen und erläuterm beliebte Debugger-Programme wie OllyDbg, WinDbg oder x64dbg. Veraltete Techniken, wie SoftICE, wurden nicht mehr in die Enzyklopädie aufgenommen.

„Das Debugging ist der wesentliche Teil der Malware-Analyse. Jedes Mal, wenn wir das Verhalten von Malware untersuchen, Verschlüsselungsmethoden nachvollziehen oder Kommunikationsprotokolle auslesen müssen, kommen Debugger zum Einsatz. Im Allgemeinen stets dann, wenn wir den Speicher eines Systems zu einem bestimmten Zeitpunkt untersuchen müssen“, erklärt Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies.

Debugger greifen in den Debugging-Prozess des Betriebssystems in einer Weise ein, die unbeabsichtigte Nebenwirkungen hat. Diese Nebenwirkungen werden dann von Schadsoftware missbraucht, um konkret während eines Debuggings ausgeführt zu werden und den Computer zu infizieren. Daher hilft der Einsatz von Anti-Debug-Techniken enorm. Sie helfen den IT-Fachkräften dabei jene Malware zu erkennen, die versucht dem Entfernen durch Debugging zu entgehen.

Die Tricks sind in Gruppen nach der jeweiligen Methode sortiert, wie sie Neben-Effekte auslösen und für ihre Zwecke gebrauchen. Jede Gruppierung enthält die Beschreibung der zugeordneten Kniffe und ihre Implementierung in die Programmier-Sprachen C/C++ oder x86/x86-64. Zusätzlich gibt es wertvolle Hilfestellungen und Anleitungen, wie sich die bekannten Anti-Debug-Tricks abschwächen lassen, falls Entwickler eigene Anti-Debug-Lösungen bauen möchten. Allgemein aber empfehlen die Sicherheitsforscher von Check Point ein Programm wie ScyllaHide, das OllyDbg, x64dbg, IDA Pro unterstützt, um Anti-Debug-Tricks aufzuhalten.

Alle in der Bibliothek aufgeführten Anti-Debug-Techniken sind zusätzlich im Open-Source-Projekt Showstopper von Check Point enthalten. Über GitHub können außerdem Anfragen gestartet werden, um die Enzyklopädie zu erweitern.

Die Enzyklopädie findet sich unter: https://anti-debug.checkpoint.com/