Im Test: Norman Malware Analyzer G2
Autor: Dr. Götz Güttich
Mit Hilfe des Malware Analyzer G2 von Norman sind IT-Verantwortliche dazu in der Lage, Viren in einer Sandbox sowie einer virtuellen Umgebung laufen zu lassen und anschließend ihr Verhalten zu analysieren. Sysbus hat sich angesehen, was das Produkt in der Praxis leistet.
Der Malware Analyzer G2 steht als Appliance zur Verfügung. Konkret handelt es sich bei dem Produkt um eine Lösung, die virtuelle Maschinen auf Basis von Norman IntelliVM und Sandboxen auf Basis der Norman SandBox bereitstellt, um darin verdächtigen Code ablaufen zu lassen und sein Verhalten im Detail zu betrachten. Umfassende Analysewerkzeuge zeichnen sämtliche Aktionen des Virus auf. Auf diese Weise erhalten die zuständigen Mitarbeiter auf der einen Seite einen allgemeinen Überblick über die Aktivitäten des Schadcodes, auf der anderen Seite existiert aber auch eine Expertenansicht, die den Sicherheitsspezialisten einen Drill-Down auf jeden vom Virus durchgeführten Schritt bis hin zum letzten Registry-Eintrag und so eine tiefgehende Analyse der Malware ermöglicht.
Die Arbeit mit dem Malware Analyzer G2 läuft über ein browser-basiertes Interface ab, so dass die IT-Verantwortlichen im Prinzip von jedem beliebigen Ort aus auf das Werkzeug zugreifen und Schadcode überprüfen können. Um die Ergebnisse der Analysen aussagekräftiger zu gestalten, bringt die Lösung so genannte Pattern mit, die bewerten, ob eine Aktion potentiell schädlich ist, oder nicht. Zum Beispiel gilt es als viel verdächtiger, wenn eine Software versucht, Daten im Windows-Verzeichnis abzulegen, als wenn sie Dateien in einem Benutzerverzeichnis speichern möchte. Anhand bestimmter Verhaltensmuster lässt sich in vielen Fällen auch die Art der Malware herausfinden, zum Beispiel ein Banking-Trojaner.
Mit Hilfe der Pattern und der durch diese Muster erkannten potentiell gefährlichen Aktionen bestimmt der Malware Analyzer G2 zudem das Schadpotential des jeweiligen Virus. Die Pattern lassen sich jederzeit an die Bedürfnisse der jeweiligen IT-Abteilung anpassen. Darüber hinaus ist es auch möglich, alle Erkenntnisse in Form von Reports zu exportieren und Real-Time-Alerts zu konfigurieren. Last but not Least arbeitet die Lösung dank diverser APIs auch mit anderen Analysesystemen und Honeypots zusammen.
Mit dem Produkt wendet sich Norman vor allem an größere Einrichtungen, in denen die IT-Verantwortlichen jeden Tag mit einer Vielzahl potentieller Infektionen konfrontiert werden. Wenn diese erkennen, dass eine der gefundenen Infektionen möglicherweise gefährlich ist, so informieren sie in der Regel einen IT-Security-Spezialisten, der sich die Sache genauer ansieht. Kommt dieser zu dem Schluss, dass das Virus tatsächlich eine Bedrohung darstellt, so leitet er den Schadcode weiter an einen Virenspezialisten, der herausfinden muss, welche Aktionen die Malware nun wirklich durchführt.
In der Regel haben selbst große Institutionen nur wenige reine Virenexperten und die Analyse des Verhaltens eines Virus im Labor gestaltet sich zudem meist sehr aufwendig. Überprüft ein Experte manuell Malicious Code, so ist das selbst dann eine zeitraubende Sache, wenn der Code klar programmiert wurde und sich einfach entschlüsseln lässt. Moderne Viren arbeiten aber meistens mit einer Vielzahl von Anti-Debug-Tricks, die es sehr schwierig machen, herauszufinden welche Intention der jeweilige Code verfolgt. Das macht klassische Analysewerkzeuge in vielen Fällen unbrauchbar.
Ein weiteres Problem liegt darin, dass die Analysen in einer sicheren Umgebung ablaufen müssen. Deshalb ist es erforderlich, für jede Malware eine eigene Laborumgebung aufzusetzen, was ebenfalls Zeit in Anspruch nimmt. Deswegen sind die Virenexperten in den meisten Organisationen in der Regel überlastet und haben aufgrund der vielen Analysearbeit kaum Zeit für andere wichtige Aufgaben. Der Norman Malware Analyzer G2 soll dies ändern und es bereits den Security-Spezialisten und den Administratoren ermöglichen, das Verhalten von Schadcode umfassend zu untersuchen, ohne dazu die Virenexperten belästigen zu müssen.
