Malware stellt eines der größten Sicherheitsrisiken im Internet dar. Durch die enorme Anzahl an neuer Malware, die täglich erscheint, benötigen Forscher und Hersteller von Anti-Viren Software Unterstützung durch dynamische Analyse-Sandboxen wie zum Beispiel Anubis. Diese Sandboxen ermöglichen die automatisierte Analyse von Malware in einer kontrollierten Umgebung. Sogenannte "umgebungs-sensitive" Malware versucht eine solche Sandbox vom System eines echten Benutzers zu unterscheiden und somit die Analyse und Erkennung zu umgehen. In Abwesenheit einer "unerkennbaren", vollkommen transparenten Analyse-Sandbox ist die Abwehr solcher Umgehungsmethoden hauptsächlich reaktiv: Hersteller und Betreiber von dynamischen Sandboxen modifizieren ihre Systeme um Umgehungsmethoden zu verhindern sobald diese bekannt werden. Dies führt wiederum zu einem endlosen Wettrüsten zwischen den Entwicklern von Malware-Entwicklern von Analyse-Sandboxen.<br />In dieser Arbeit präsentieren wir DISARM, ein System, das Malware automatisch in mehreren Analyse-Sandboxen auf Umgehungsmethoden überprüft. Wir präsentieren neue Methoden zur Normalisierung von Malware-Verhalten in verschiedenen Sandboxen und zur Erkennung von semantisch unterschiedlichem Verhalten. Des Weiteren entwickeln wir eine Monitoring-Technologie zur Analyse von Malware mit geringem Overhead in jeder beliebigen Windows XP Umgebung. Nichtsdestotrotz sind unsere Methoden mit jeder Monitoring-Technologie zur dynamischen Analyse von Malware kompatibel. Zusätzlich funktionieren unsere Methoden unabhängig von der Art und Weise mit der Malware versucht die Analyse zu umgehen.<br />Wir unterziehen DISARM einer umfangreichen Evaluierung, anhand welcher wir die Genauigkeit in der Erkennung von Umgehungsmethoden in realer Malware demonstrieren. Wir erkennen damit neuartige Methoden, mit denen Malware die Analyse in dynamischen Analyse-Sandboxen umgeht.<br />
de
Malware poses one of the Internet's major security threats today. Due to the vast amount of new malware samples emerging every day, researchers and Anti-Virus vendors rely on dynamic malware analysis sandboxes such as Anubis to automatically analyze malicious code in a controlled environment. In order to evade detection by these sandboxes, environment-sensitive malware aims to differentiate the analysis sandbox from a real user's environment. In the absence of an "undetectable", fully transparent analysis sandbox, defense against sandbox evasion is mostly reactive: Sandbox developers and operators tweak their systems to thwart individual evasion techniques as they become aware of them, leading to a never-ending arms race.<br />In this thesis we present DISARM, a system that automates the screening of malware for evasive behavior using different analysis sandboxes. We present novel techniques that normalize malware behavior across these analysis sandboxes and detect malware samples that exhibit semantically different behavior. We further present a light-weight monitoring technology that is portable to any Windows XP environment. Nevertheless, our techniques are compatible with any monitoring technology that can be used for dynamic malware analysis and are completely agnostic to the way that malware achieves evasion. In a large-scale evaluation on real-world malware samples we demonstrate that DISARM can accurately detect evasive malware, leading to the discovery of previously unknown evasion techniques.<br />
