Sub-OS-Erkennung
Wir brauchen eine neue Herangehensweise, die zwei kritische Aufgaben erledigt: erstens die Erkennung der eigentlichen APT-Infektion in Echtzeit und zweitens die Versorgung der zur Bedrohungsabwehr Beauftragten mit sofortigen forensischen Daten, um deren Analyse- und Reaktionszeiten signifikant zu verkürzen. Angesichts der schwer zu erfassenden und heimlichen Natur von APT, muss die Erkennung auf einer Ebene erfolgen, die unter der der Infektion und Aktivität liegt. Diese Ebene kann nur ein ‚Bare Metal‘-Hypervisor (wie LynxSecure) sein, der Hardware von der Software trennt, dem installierten Betriebssystem aber nur blanke virtuelle Hardware anzeigt. Als letztendlich ‚virtuelles Motherboard‘ ist solch ein Hypervisor unsichtbar für APT. Der Hypervisor muss speziell für die Erkennung ausgelegt (das heißt ein Honeypot) und so abgehärtet sein, dass er nicht selbst Angriffsziel wird. Hierdurch wird auch jegliche Abhängigkeit von einem OS aufgehoben, so dass die Erkennung eine OS-agnostische wird. Als privilegiertester Beobachter auf der Plattform ist der Hypervisor in der Lage, jede Veränderung an der beobachteten Hardware zu erfassen. Überdies kann ein gut durchdachter Embedded Hypervisor mit kleiner eigensicherer Codebasis die Installation auf typischen PC-basierten Embedded-Systemen installiert werden, die oft über bescheidene Rechenleistung und Speichergröße verfügen. Die geringe Größe des Hypervisors wird das Sicherheitsniveau des Gesamtsystems weiter stärken und die Angriffsoberfläche erheblich reduzieren. Auf diese Weise werden die heimlichsten Rootkits sofort abgefangen: MBR Wiper (z.B. Dark Seoul), MBR-Infektoren (z.B. TLD4), VBR-Infektoren (z.B. XPAJ), verborgene Dateisysteme nutzende Malware (z.B. ZeroAccess), etc.
Live Forensik
Derzeit erfordert die Ermittlung der genauen Einzelheiten solcher Infektionen eine mühsame forensische Analyse: sie verfügt nicht über die forensischen Daten der un-infizierten Hardware und muss die gesamte Hardware hinsichtlich der Infektion analysieren. Dieser Hypervisor jedoch erlaubt die Erstellung eines sofortigen und abgestimmten forensischen Berichts, der nur die infizierten Bereiche enthält, mit einer automatischen Analyse der sauberen vs. Infizierten Zustände (ein Hypervisor behält immer das ‚Gold Image‘, in diesen Fall: ein sauberes, uninfiziertes Masterbild). Zur erfolgreichen Eindämmung von APT-Angriffen ist also ein ‚Out-of-the-Box‘-Ansatz erforderlich. Der Einsatz eines sicheren Embedded Hypervisors als Ebene zur proaktiven Erkennung holt aus der ‚Box‘ (nämlich das attackierte Betriebssystem) die Sicherheit wortwörtlich heraus.
