Evaluierungsmodelle für Resilience und Stealth von Softwareschutz und Malware

Das Projekt EMRESS (Evaluation Models for the Resilience and Stealth of Software Protections and Malware) beschäftigt sich mit dem Problem der Quantifizierbarkeit von Softwareschutztechniken, welche sowohl in kommerziellen Programmen als auch in Schadsoftware (Malware) eingesetzt werden. Obwohl diese Techniken seit mehr als zwei Jahrzeiten erforscht und in der Praxis sehr häufig verwendet werden, gibt es bis jetzt keine belastbaren Modelle, welche für eine vorliegende Software die Stärke von möglichen Schutzmechanismen ermitteln können. Das Fehlen solcher Modelle ist höchst problematisch zum einen für Softwareanbieter, welchen automatisierte Entscheidungssysteme für die Wahl der optimalen Schutzstrategie für ihre Software fehlt, und zum anderen für Schadsoftware- Analysten, welche in Abhängigkeit der eingesetzten Schutztechniken der Schadsoftware die passende Analysestrategie festlegen müssen. Ziel des Forschungsvorhabens ist die Erstellung von quantitativen Prädiktionsmodellen für die Stärke von Softwareschutztechniken in Bezug auf die beiden Eigenschaften Resilience (Stärke des Schutzes gegenüber verschiedenen Analysestrategien) und Stealth (Verdecktheit des Schutzes). Die Quantifizierbarkeit der Resilience soll durch die Entwicklung neuartiger Modelle und Metriken geschehen, die prognostizieren können, inwieweit ein Softwareanalyst bestehende Schutzmechanismen durch die Verwendung von State-of-the-art Tools und Software-Analysetechniken rückgängig machen kann. Die Stealth von Softwareschutzmechanismen soll durch die Entwicklung von neuartigen Techniken zur Identifikation von Codebereichen in Software mit einer vorgegebenen Semantik quantifizierbar gemacht werden. In beiden Forschungsbereichen bilden umfangreiche Literatursurveys die Grundlage mit denen der Wissenstand der Forschung über das Wettrüsten zwischen Softwareschutz und Programmanalyse in der Theorie beschrieben wird. Daraus sollen Eigenschaften von Programmcode abgeleitet werden, welcher (a) zur Quantifizierung der Stärke der eingesetzten Schutzmechanismen genutzt werden können und (b) im Kontext von Schadsoftware zur Bestimmung der Art der eingesetzten Schutzmechanismen genutzt werden können. Die gewonnenen Erkenntnisse liefern die Grundlage der Modellbildung. Im Anschluss werden prototypische Implementierungen von Software-Schutzkonzepten und Analysemethoden praktischen Tests unterzogen, um die Hypothesen der Modellbildung zu überprüfen. Das Vorgehen bei der Analyse von Softwareschutzmechanismen durch sowohl professionelle Sicherheitstester als auch Schadsoftware-Analysten wird studiert und mit den Resultaten der Literatursurveys verglichen. Die Ergebnisse des Projekt EMRESS sollen den wissenschaftlichen State-of-the-art im Bereich der Quantifizierung von Softwareschutzmechanismen sowohl in der Theorie als auch in der Praxis signifikant verbessern. Weiters werden positive Effekte für die Forschungsfelder des Software-Testens und der Software-Assurance erwartet.

Das Projekt EMRESS beschäftigte sich mit der Quantifizierbarkeit von Softwareschutztechniken, welche sowohl in kommerziellen Programmen als auch in Schadsoftware eingesetzt werden. Obwohl diese Techniken seit langem erforscht und in der Praxis sehr häufig verwendet werden, gab es bis jetzt keine belastbaren Modelle, welche für eine vorliegende Software die Stärke von möglichen Schutzmechanismen ermitteln konnten. Das Fehlen solcher Modelle war höchst problematisch für Schadsoftware-Analyst:innen, welche in Abhängigkeit der eingesetzten Schutztechniken die passende Analysestrategie festlegen müssen. Im Rahmen des Projekts wurden für die beiden wesentlichen Eigenschaften einer Schutztechnik, Stealth (Verdecktheit des Schutzes) und Resilience (Stärke des Schutzes gegenüber dem automatisierten Rückgängigmachen eines Schutzes), Methodiken zur Bestimmung deren Stärke erforscht. Dazu haben wir zwei umfangreiche Software-Frameworks erstellt, welche uns die empirische Forschung an Softwareschutz und Programmanalyse ermöglichten und in weiterer Folge zur Ableitung von Prädiktionsmodellen für die Stärke von Softwareschutztechniken dienten. Zur Modellierung von Stealth-Eigenschaften extrahierten wir Muster aus einem Set an Programmkomplexitätsmetriken und maßen, wie eindeutig sie spezifischen Schutztechniken zugeordnet werden können. Die Existenz von eindeutigen Mustern reduziert die Stealth einer Schutztechnik, da sie sich über das Muster identifizieren lässt. Für die Quantifizierung von Resilience-Eigenschaften ermittelten wir die Qualität der Rekonstruktion von grundlegenden Programmstrukturen durch eine Vielzahl von Analyseprogrammen im Kontext von einzelnen Softwareschutztechniken bzw. der Kombination von Techniken. Je schlechter Strukturen wie beispielsweise der Kontrollflussgraph eines Programms rekonstruiert werden können, desto höher kann die Resilience bewertet werden. Ein weiterer Forschungsschwerpunkt des Projekts war die Identifikation von Funktionalität in geschützten Programmen. Wir entwickelten eine neuartige Methodik, welche Funktionalität anhand ihres charakteristischen Ein- und Ausgabeverhaltens unabhängig von der konkreten Implementierung bzw. dem Vorhandensein von Schutztechniken eindeutig erkennt. In ihrer Kombination dienen die erforschten Frameworks als Entscheidungsunterstützungssystem für Malware-Analyst:innen, indem für eine potentielle Schadsoftware automatisiert die enthaltenden Schutztechniken ermittelt und geeignete Analysemethoden und -programme vorgeschlagen werden sowie automatisiert das Vorhandensein typischer Funktionalität von Malware geprüft werden kann. Parallel zur empirischen Forschung wurde anhand von über 570 Publikationen der wissenschaftliche State-of-the-art, sowie methodische Schwächen im Forschungsbereich des Softwareschutzes ermittelt und Lösungsstrategien in unsere Frameworks integriert. Die Ergebnisse des Projekt EMRESS tragen signifikant zur Verbesserung wissenschaftlichen State-of-the-art im Bereich der Quantifizierung von Softwareschutzmechanismen sowohl in der Theorie als auch in der Praxis bei. Weiters sehen wir positive Effekte für weitere Forschungsfelder wie Software-Testen und Software-Assurance.