Check Point bringt Anti-Debug-Enzyklopädie gegen Malware heraus

Debugger greifen in Debugging-Prozess des Betriebssystems in einer Weise ein, die unbeabsichtigte Nebenwirkungen hat, warnt Check Point

[datensicherheit.de, 07.09.2020] Check Point hat nach eigenen Angaben eine Bibliothek zu Anti-Debugging-Techniken veröffentlicht: Diese steht demnach jedem zur Verfügung und soll die „Malware-Enzyklopädie“ ergänzen. Über „GitHub“ könnten sich Experten außerdem an deren Erweiterung beteiligen. Alle in dieser Bibliothek aufgeführten Anti-Debug-Techniken seien zusätzlich im Open-Source-Projekt „ShowStopper“ von Check Point enthalten.

Foto: Check Point Software Technologies

Christine Schönig: Anti-Debug-Enzyklopädie“ von Check Point online gestellt

Sicherheitsforscher von Check Point möchten IT-Fachkräfte im Kampf gegen Malware unterstützen

Die Sicherheitsforscher der Check Point® Software Technologies Ltd. möchten erkennbar ihr Engagement verstärken, IT-Fachkräfte von Unternehmen in ihrem Kampf gegen Malware zu unterstützen. Zu diesem Zweck sei jetzt eine „Anti-Debug-Enzyklopädie“ online gestellt worden, die jedem zur Verfügung stehe.
Darin beschreiben die Experten nach eigenen Angaben „gängige Anti-Debug-Tricks der neuen ,Windows‘-Versionen“ und erläutern beliebte Debugger-Programme wie „OllyDbg“, „WinDbg“ oder „x64dbg“. Veraltete Techniken, wie „SoftICE“, seien nicht mehr in die Enzyklopädie aufgenommen worden.

Christine Schönig, „Regional Director Security Engineering CER“ bei Check Point, beschreibt Problemlage

„Das Debugging ist der wesentliche Teil der Malware-Analyse. Jedes Mal, wenn wir das Verhalten von Malware untersuchen, Verschlüsselungsmethoden nachvollziehen oder Kommunikationsprotokolle auslesen müssen, kommen Debugger zum Einsatz. Im Allgemeinen stets dann, wenn wir den Speicher eines Systems zu einem bestimmten Zeitpunkt untersuchen müssen“, erläutert Christine Schönig, „Regional Director Security Engineering CER“, Office of the CTO, bei der Check Point Software Technologies GmbH.
Debugger griffen in den Debugging-Prozess des Betriebssystems in einer Weise ein, die unbeabsichtigte Nebenwirkungen habe. Diese Nebenwirkungen würden dann von Schadsoftware missbraucht, um konkret während eines Debuggings ausgeführt zu werden und den Computer zu infizieren. Daher helfe der Einsatz von Anti-Debug-Techniken enorm. „Sie helfen den IT-Fachkräften dabei jene Malware zu erkennen, die versucht dem Entfernen durch Debugging zu entgehen“, so Schönig.

Sicherheitsforscher von Check Point empfehlen „ScyllaHide“, um Anti-Debug-Tricks aufzuhalten

Die Tricks seien in Gruppen nach der jeweiligen Methode sortiert, „wie sie Neben-Effekte auslösen und für ihre Zwecke gebrauchen“. Jede Gruppierung enthalte die Beschreibung der zugeordneten Kniffe und ihre Implementierung in die Programmier-Sprachen „C“/“C++“ oder „x86“/“x86-64“.
Zusätzlich gebe es wertvolle Hilfestellungen und Anleitungen, wie sich die bekannten Anti-Debug-Tricks abschwächen ließen, falls Entwickler eigene Anti-Debug-Lösungen bauen möchten. „Allgemein aber empfehlen die Sicherheitsforscher von Check Point ein Programm wie ,ScyllaHide‘, das ,OllyDbg‘, ,x64dbg‘, ,IDA Pro‘ unterstützt, um Anti-Debug-Tricks aufzuhalten.“

Weitere Informationen zum Thema:

cp<r> CHECK POINT RESEARCH
Anti-Debug Tricks

cp<r> CHECK POINT RESEARCH, 05.08.2020
CPR Anti-Debug Encyclopedia: The Check Point Anti-Debug Techniques Repository

datensicherheit.de, 26.08.2020
Serverless Computing kann sicher sein

datensicherheit.de, 02.07.2020
Schwerwiegende Lücken entdeckt: RDP-Gateway von Apache Guacamole angreifbar