The search result changed since you submitted your search request. Documents might be displayed in a different sort order.
  • search hit 4 of 10
Back to Result List

Einsatz hardwaregestützter Virtualisierungstechnologien in der Malwareanalyse und Angriffserkennung

Hardware-assisted Virtualization for Malware Analysis and Intrusion Detection

  • Diese Arbeit ist das Ergebnis einer Recherche in den technischen Themengebieten hardwaregestützten Systemvirtualisierung, Virtual-Machine-Introspection (VMI) und VM-Erkennungsmechanismen sowie deren Abwehr. Dabei liegt der Fokus auf dem Einsatz dieser Technologien in der Malwareanalyse oder der Angriffserkennung im Kontext einer EDR-Sensorik. Es werden die grundlegenden Konzepte und Begriffe Systemvirtualisierung eingeführt, erklärt und zu verwandten Gebieten abgegrenzt. Der Weg über die Erweiterung bestehender Schutz-Konzepte moderner CPUs und Betriebssysteme wird beschrieben hin zu Befehlssatzerweiterungen, welche die Hypervisor-Software bei der Bildung der Abstraktionsebenen unterstützen. Dabei wird die Verwendung der Virtualisierungserweiterungen VT-x und AMD-V für die IA32/AMD64-ISA erklärt einschließlich verschiedener Methoden zur Virtualisierung des Paging-Systems. Ein besonderer Fokus liegt dabei auf dem „Second Level Address Translation“-Konzept (SLAT). Neben der Betrachtung der PC-Prozessoren wird auch die Virtualisierungsfunktionalitäten der ARMv8-Architektur erläutert und deren Verwendung beispielhaft beschrieben. Im Kontext der Malwareanalyse und Angriffserkennung ist es besonders relevant, dass Virtualisierungs- und Analyseumgebungen nicht erkannt werden können. Es werden verschiedene Erkennungsansätze und Verfahren diese abzuwehren beschrieben. Um Malware unbemerkt analysieren zu können bietet sich die Analyse über den Hypervisor mittels Virtual-Machine-Introspection (VMI) an. Diese wird erklärt, deren Schwierigkeiten bezüglich des Semantic-Gaps benannt und Möglichkeiten aufgezeigt, diesen Problemen zu begegnen. Zudem werden einige wichtige VMI-Bibliotheken und Verfahren beschrieben. Abschließend werden noch zwei recht unterschiedliche Beispiellösungen kurz betrachtet. Diese sind Drakvuf als Beispiel für eine Malwareanalyse-Sandbox auf Basis von VMI und SimpleVisor, ein minimaler Modell-Hypervisor, der das Hyperjacking-Prinzip verwendet.
  • This work is the result of an exploration of the topics ardware-assisted full virtualization, virtual machine introspection (VMI) and VM detection mechanisms included prevention techniques. The fokus is on the use of these technologies for malware analysis or EDR sensors. The basic concepts and terms of virtualization are explained and delimited from related terms. The evolution from protection concepts of modern CPUs and operating systems to instruction set extensions for virtualization is shown. The use of the virtualization extensions VT-x and AMD-V is explained. This also includes methods for virtualizing the paging system like shadow page tables and hardware features for second level address translation like EPT and RVI. In addition the use of the virtualization functionalities of the ARMv8-ISA are explained. In the context of malware analysis and EDR sensors, it is particularly relevant that virtualization and analysis environments cannot be detected by malware. Various detection approaches and methods to bypass them are described. In order to analyze malware in an unobserved way, the analysis via virtual machine introspection (VMI) techniques is recommended. The functionality and challenges of VMI are described. The main issue is the semantic gap problem, which is explained and possible ways to deal with it are given. Furthermore some important VMI libraries and thechniques are described. A brief consideration of two sample virtualization solutions concludes the work. These are Drakvuf as an example of a malware analysis sandbox based on VMI and SimpleVisor, a minimal model hypervisor that uses hyperjacking.
Metadaten
Author:Alexander Schmitz
Document Type:Report
Language:German
Date of Publication (online):2025/01/15
Year of first Publication:2021
Publishing Institution:Westfälische Hochschule Gelsenkirchen Bocholt Recklinghausen
Release Date:2025/01/15
Tag:Hardware-assisted Virtualization; Hypervisor; VM Detection; VT-x AMD-V ARM; Virtual Machine Introspection (VMI)
Pagenumber:155
Departments / faculties:Fachbereiche / Informatik und Kommunikation
Dewey Decimal Classification:Informatik, Informationswissenschaft, allgemeine Werke / Informatik, Wissen, Systeme / Datenverarbeitung; Informatik
Licence (German):License LogoEs gilt das Urheberrechtsgesetz

$Rev: 13159 $