Sandboxen

12/2010

Ein Vergleichstest mit vier Sandboxen und zehn Schadprogrammen unter Windows 7 32-Bit.

Inhalt:
Getestete Programme
Testumgebung
Schadprogramme
Testablauf
Testergebnis
Hinweise

Getestete Programme

  • BufferZone Pro 3.41-14
  • DefenseWall Personal Firewall 3.09
  • GeSWall Pro 2.9.1
  • Sandboxie 3.50

Der Begriff Sandbox trifft genau genommen nur auf BufferZone und Sandboxie zu, bei diesen werden Programme tatsächlich in einer isolierten Umgebung ausgeführt bzw. alles wird in einen Ordner umgeleitet.

DefenseWall und GeSWall arbeiten hauptsächlich mit Zugriffsbeschränkungen und zum Teil mit Virtualisierung. Der Zugriff auf wichtige Teile des Systems wird für isolierte Programme verweigert, von isolierten Programmen erstellte Dateien werden ebenfalls isoliert und Registrierungszugriffe werden teilweise virtualisiert.

Testumgebung

Hardware: PC mit 2,2 GHz 64-Bit Prozessor, 2 GB Arbeitsspeicher, interne SATA Festplatte mit 7200 U/min, externe eSATA Festplatte mit 7200 U/min.

Betriebssystem: Windows 7 Professional 32-Bit inkl. aller Sicherheitsupdates.

Systemeinstellungen: Administratorkonto, Benutzerkontensteuerung deaktiviert, Windows Defender deaktiviert, Systemwiederherstellung deaktiviert.
Hinweis: Diese Systemeinstellungen sind zum Testen gewählt, wenn man den Schutz durch Windows minimieren will, um es für die getesteten Schutzprogramme möglichst schwer zu machen. Im Alltagsbetrieb sind solche Einstellungen natürlich nicht empfehlenswert.

Für die Tests wurden auf der internen Festplatte mit FirstDefense-ISR vier identische Snapshots erstellt und in jeden Snapshot ein Schutzprogramm installiert.
Alle Daten der internen Festplatte wurden danach auf der externen Festplatte für eine spätere Wiederherstellung des Testsystems gesichert.

Schadprogramme

Die Auswahl der Schadprogramme erfolgte mit Malware Defender.
Die Benennung der Schadprogramme erfolgte nach der Erkennung von Kaspersky, nur beim Trojan.PWS.Gamania.29147 wurde die Erkennung von Dr.Web verwendet.

Die Auswahl besteht aus:

  • Rootkits (Smiscer, Stuxnet, TDSS)
  • Crimeware (SpyEyes, Zbot)
  • Backdoors (Krap, Vilsel)
  • einem MBR-Killer (KillDisk)
  • einem Wurm (Autorun)
  • und Spyware mit einer gültigen digitalen Signatur (Gamania)

Zur eindeutigen Bestimmung der Schadprogramme sind bei den Namen die MD5 Hashwerte angegeben, darunter befinden sich Links zu VirusTotal und ThreatExpert (dessen Reports zeigen aber nicht immer alle relevanten Aktionen der Schadprogramme, so wie sie auf einem echten System stattfinden).

Packed.Win32.Krap.gy
MD5: db7a6d55330b138ab284968044921909
VirusTotal Link
ThreatExpert Report

Trojan.PWS.Gamania.29147
MD5: 5146c8653c06914ec1230904bebb2f49
VirusTotal Link
ThreatExpert Report

Trojan.Win32.KillDisk.ah
MD5: 8ef81d9b118a56754c787f7babfccd25
VirusTotal Link
ThreatExpert Report

Trojan.Win32.Vilsel.uak
MD5: 960c7cc71e602ecf3eddebcf783ff2a1
VirusTotal Link
ThreatExpert Report

Trojan-Dropper.Win32.Smiscer.hf
MD5: d8f6566c5f9caa795204a40b3aaaafa2
VirusTotal Link
ThreatExpert Report

Trojan-Dropper.Win32.TDSS.tqr
MD5: bb6a9e796f6151e89966ea7b30f93591
VirusTotal Link
ThreatExpert Report

Trojan-Spy.Win32.SpyEyes.dqf
MD5: d4f1645be8f86f2afbd0ca61887c0c08
VirusTotal Link
ThreatExpert Report

Trojan-Spy.Win32.Zbot.aund
MD5: 3d876211faba61d07a9b9dc517b4570b
VirusTotal Link
ThreatExpert Report

Worm.Win32.AutoRun.hmb
MD5: fb9e829aa297d5563b52bd4c23cea20f
VirusTotal Link
ThreatExpert Report

Worm.Win32.Stuxnet.e
MD5: 74ddc49a7c121a61b8d06c03f92d0c13
VirusTotal Link
ThreatExpert Report

Testablauf

Alle Schutzprogramme wurden mit den Standardeinstellungen installiert und mit den Voreinstellungen getestet.

Während der Tests der Schadprogramme war keine Internetverbindung vorhanden, da sonst eine Vergleichbarkeit nicht herzustellen gewesen wäre, wenn Schadprogramme z.B. unterschiedliche Komponenten nachgeladen und ausgeführt hätten.

Für eine bessere Vergleichbarkeit der Ergebnisse wurde der Internet Explorer unter der Kontrolle der Schutzprogramme gestartet und die Schadprogramme wurden dann über den Internet Explorer von einem lokalen Laufwerk ausgeführt.

Nach der Ausführung eines jeden Schadprogramms wurde bei den einzelnen Schutzprogrammen wie folgt vorgegangen:

BufferZone

Beim Hauptfenster von BufferZone wurde „Empty BufferZone“ aufgerufen.

Beim folgenden Fenster wurde dann der Inhalt der Sandbox gelöscht, also alle Prozesse wurden beendet und alle Dateien und Registrierungseinträge wurden gelöscht.

DefenseWall

Über das Kontextmenü des Symbols im Infobereich wurden mit „Angriff stoppen!“ alle isolierten Prozesse beendet.

Beim Fenster „Wiederherstellung“ wurden dann alle Dateien und Registrierungseinträge gelöscht, die vom Schadprogramm erzeugt wurden.

GeSWall

Beim Hauptfenster wurden über das Kontextmenü von „Isolated Applications“ mit „Terminate all“ alle isolierten Prozesse beendet.

Dann wurde bei „Untrusted Files“ mit „Start Scan…“ nach isolierten Dateien gesucht und diese gelöscht.

Sandboxie

Über das Kontextmenü des Symbols im Infobereich wurden mit „Alle Programme beenden“ alle Sandbox-Prozesse beendet.

Danach wurde über „DefaultBox“ und „Inhalte löschen“ der Inhalt der Sandbox gelöscht.

Nachdem wie oben beschrieben mit dem jeweiligen Schutzprogramm die Reste eines jeden Schadprogramms entfernt wurden, wurde mit Malware Defender und Hitman Pro nach verbliebenen Spuren des Schadprogramms gesucht.

Nach der Durchführung aller Tests wurden alle Dateien der vier Snapshots mit dem avast! Antivirus von einem weiteren Snapshot aus gescannt.

Testergebnis

Test bestanden
Das getestete Schutzprogramm hat schädliche Veränderungen des echten Systems durch das Schadprogramm verhindern können.

Test nicht bestanden
Das getestete Schutzprogramm hat schädliche Veränderungen des echten Systems durch das Schadprogramm nicht verhindern können.

Hinweise

BufferZone – Trojan.PWS.Gamania.29147

Der Grund für das Scheitern liegt in der unten markierten Voreinstellung.

Nach den Voreinstellungen von BufferZone werden digital signierte Programmdateien außerhalb der Sandbox ausgeführt, dies führt jedoch beim Trojan.PWS.Gamania.29147 zum Scheitern, da diese Datei eine gültige digitale Signatur besitzt.

Abhilfe würde eine Einstellung schaffen, bei der auch bei signierten Programmdateien gefragt wird, ob diese innerhalb oder außerhalb der Sandbox ausgeführt werden sollen.

Dann würde eine Abfrage auch bei signierten Programmdateien erscheinen und damit hätte BufferZone auch diesen Test bestanden.

Diese Abfrage erscheint auch, wenn man bei BufferZone unter „Configuration“ > „Advanced Policy“ > die „Signed Installer“ auf „Prompt“ stellt.

GeSWall – Trojan.PWS.Gamania.29147

Der Grund für das Scheitern liegt in der unten markierten Regel.

GeSWall virtualisiert nicht alle Registrierungszugriffe bis ein Schadprogramm beendet wird, sondern lässt sie für bestimmte Bereiche zu.

Bei der Ausführung des Trojan.PWS.Gamania.29147 über den Internet Explorer wurde vom Schadprogramm in einen Bereich geschrieben, der von GeSWall für den Internet Explorer erlaubt ist:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer

Der Trojan.PWS.Gamania.29147 erstellt dort einen Registrierungseintrag, mit dem der geschützte Modus des Internet Explorer deaktiviert wird, wie der Malware Defender Log zeigt.

Wenn man diesen Bereich bei GeSWall verbietet, dann wird auch dieser Test bestanden.

Ebenso hätte GeSWall diesen Test bestanden, wenn der Trojan.PWS.Gamania.29147 vom Explorer oder einem Browser wie z.B. Firefox ausgeführt worden wäre, da der fragliche Registrierungsbereich nur für den Internet Explorer von GeSWall erlaubt ist.

Advertisements