Když se objeví nějaká nová zajímavá verze škodlivého softwaru, lidé se nás často ptají, jak tento malware funguje a jakým způsobem škodí. V minulosti, abychom mohli zjistit, jaké operace daný software vyvolává a byli schopni vysvětlit hrozby, prováděli jsme statickou analýzu dekompilací strojového kódu malwaru. Analýza tak například ukázala, že software sám sebe kopíruje do spustitelných souborů na disku. Spuštěním škodlivého kódu na počítači jsme pak danou analýzu ověřili.

Nyní se ale denně setkáváme se stovkami tisíc vzorků malwaru, z nichž drtivá většina není úplně nová. Často jde o více či méně identickou kopii již známého malwaru, ale i tak nám stále zůstává velké množství nových vzorků k důkladnému prozkoumání. Proto jsme přešli na modernější metody automatizované analýzy škodlivého kódu, místo abychom se jej pokoušeli ručně dekompilovat.

Jak ohlídat viry

Jednou ze základních technik je tzv. snímkování (snapshotting), při kterém porovnáváme stav sytému před a po působení malwaru. Zkontrolujeme názvy souborů a jejich kontrolní součty nebo obsah registru operačního systému. Další metodou je detailní sledování vyvolávaných funkcí operačního systému, například na vytvoření nových souborů, spuštění dalších procesů nebo stažení dat z internetu.

Snímkování nám odpovídá na otázku, co vlastně malware dělá, a sledování vyvolávaných funkcí operačního systému vysvětluje, jak škodlivý kód pracuje. Tyto metody ovšem mají i své nedostatky. Například je poměrně obtížné určit, který ze stovek tisíc příkazů vytvořil jeden konkrétní soubor. Další otázkou je, jak dlouho je vlastně třeba čekat mezi provedením snímků k porovnání stavu systému. Budeme-li čekat příliš dlouho, malware odvede svoji práci a může zmizet. Krátký interval zase nemusí zaznamenat činnost škodlivého kódu, který třeba čeká na stažení určité komponenty. Zvážit musíme i důvěryhodnost zjištěných výsledků, jelikož je získáváme ze systému napadeného malwarem, který může poskytovat nesprávné nebo podvržené výstupy.

Jak pomáhá virtualizace

V mnoha případech používáme k odhalování aktivit škodlivého kódu virtualizaci. Testování na virtuálních strojích má totiž hned několik výhod. Na fyzickém počítači můžeme využívat hned několik různých virtuálních strojů k pozorování chování malwaru nebo k současné analýze více různých vzorků. Virtuální stroje jsou navíc reprezentovány jediným souborem na disku fyzického počítače, takže je můžeme snadno zálohovat i obnovit.

Právě tato vlastnost virtuálních počítačů nám umožňuje snadno porovnávat stav virtualizovaného disku před a po působení malwaru. Porovnávání navíc nemůže být ovlivněno tím, že se malware dokáže skrývat a poskytovat falešné výstupy, takže je mnohem přesnější. Zásadním problémem této metody je ale vysoká časová náročnost. Například obraz počítače s Windows 8.1 představuje přibližně 8 GB dat, což znamená, že při porovnávání dvou obrazů (před a po působení malwaru) je potřeba sektor po sektoru projít plných 16 GB dat.

Virtualizační systémy již naštěstí často obsahují funkce na pořizování snímků virtuálních počítačů, aby mohly virtuální stroje snadno vracet do původního stavu, typicky během testování nového softwaru. Pro záznam změn se přitom používá speciální obraz, se kterým virtualizační software porovná hlavní obraz během jeho rekonstrukce do původního stavu. Zjednodušeně řečeno, získáme seznam změn, které malware ve virtuálním počítači provedl, aniž by měl škodlivý kód možnost své aktivity skrýt.

Co nám prozradí změny

Hlavním přínosem sledování změn je odhalení činnosti rootkitů, které se pohybují mimo operační systém. Zároveň ale můžeme sledovat i změny na úrovni souborů a díky tomu zjistit, který soubor modifikoval určitou část disku. Rychle tak získáme přehled změn, aniž abychom museli zdlouhavě analyzovat kompletní obraz disku.

Analýza změn tímto způsobem je výrazně rychlejší než tradiční metody odhalování činnosti malwaru. V naší laboratoři jsme míru zlepšení změřili a došli jsme k závěru, že nový způsob analýzy je rychlejší dokonce až 60krát. To, co nám dříve zabralo minutu času, nyní trvá jedinou sekundu.

Chester Wisniewski