Dynamic device driver analysis based on virtual machine introspection

Abstract

Soll aktuelle Malware untersucht werden, so ist es ab einem gewissen Detailgrad unumgänglich, das Verhalten von kernel-mode Code in die Analyse mit einzuschließen. Der Grund dafür liegt darin, dass Malware, die nicht im user-mode Kontext eines normalen Prozesses, sondern im kernel mode ausgeführt wird, uneingeschränkte Rechte besitzt und ihr sich damit ebenso uneingeschränkte Möglichkeiten erschließen.<br />Das existierende Anubis Projekt für die Analyse unbekannter ausführbarer Dateien beschränkt sich allerdings im Zuge seiner Zielsetzung, bösartiges Verhalten zu erkennen, auf user-mode Prozesse. Damit schließt Anubis auch die Analyse von Gerätetreibern aus, wobei letztere wohl die bequemste Art undWeise darstellen, beliebigen kernelmode Code zur Ausführung zu bringen. Im Rahmen dieser Diplomarbeit werden Mittel und Wege für die automatische Analyse von Gerätetreibern und ladbaren Kernel-Modulen aufgezeigt und deren Umsetzung in Form einer Erweiterung für das bestehende Anubis-Framework beschrieben.<br />

Device driver behavior comes into interest when taking a closer look at modern day malware, especially rootkits. Actions such as process and file hiding or keylogging are not possible if the malware executes in the standard user-mode context of a Windows PE executable. Instead, the code must run in kernel mode. The existing Anubis project for "Analyzing unknown binaries", however, solely focuses on user-mode executables in its goal to discover malicious behavior of malware. Therefore, it is not covering suspicious device driver behavior despite the fact that this is the most convenient method to run arbitrary kernel-level code. In this thesis, an extension to Anubis is presented, which aims to provide a method to automatically detect and evaluate device drivers.