Video: Windows Defender Sandbox Test vs Malware (Oktober 2024)
Å utføre dynamisk analyse av ukjent programvare i et kontrollert miljø - eller "sandboksing" - er et kraftig verktøy for sikkerhetsfolk som bruker for å skylle ut skadelig programvare. De skurkene er imidlertid kloke på teknikken og har introdusert nye triks for å bryte ut av sandkassen og inn i systemet ditt.
"Dynamisk analyse er den rette måten, og mange mennesker gjør det, " sa Christopher Kruegel, medgründer og sjefforsker i sikkerhetsselskapet LastLine. "Men egentlig er det bare å klø i overflaten." Den gamle modellen for AV-løsninger fokuserte på lister over kjent malware, og beskyttet mot alt som samsvarte med den listen. Problemet er at denne metoden ikke kan beskytte mot utnyttelse av null dager eller utallige variasjoner på eksisterende skadelig programvare.
Gå inn i sandboxing, som kjører ukjent programvare i et kontrollert miljø, som en virtuell maskin, og ser for å se om den oppfører seg som skadelig programvare. Ved å automatisere prosessen har AV-selskaper vært i stand til å gi sanntidsbeskyttelse mot trusler de aldri har sett før.
Breaking the Sandbox
Ikke overraskende har skurkene introdusert nye verktøy for å lure sandkasser til å ignorere skadelig programvare og slippe den gjennom. Kruegel siterte to måter skadelig programvare har begynt å gjøre dette på: den første er bruk av miljøutløsere, der skadelig programvare vil undersøke om den kjører i et sandkasset miljø. Malware vil noen ganger sjekke navnet på harddisken, navnet på brukeren, hvis visse programmer er installert, eller noen andre kriterier.
Den andre og mer sofistikerte metoden Kruegel beskrev var skadelig programvare som faktisk stopper ut sandkassen. I dette scenariet trenger ikke skadelig programvare å utføre noen sjekker, men gjør i stedet ubrukelige beregninger før sandkassen er fornøyd. Når sandkassen har gått ut, overfører den skadelig programvare til selve datamaskinen. "Malware kommer til å bli henrettet på den virkelige verten, gjør sin sløyfe og gjør så dårlige ting, " sa Kruegel. "Det er en betydelig trussel mot ethvert system som bruker en dynamisk analyse."
Allerede i naturen
Varianter av disse sandkassebrytende teknikkene har allerede funnet veien til høyprofilerte angrep. Ifølge Kruegel hadde angrepet på sørkoreanske datasystemer forrige uke et veldig enkelt system for å unngå oppdagelse. I så fall sa Kruegel at skadelig programvare bare ville kjøres på en bestemt dato og tid. "Hvis sandkassen får den dagen etter, eller dagen før, gjør den ikke noe, " forklarte han.
Kruegel så en lignende teknikk i Aramco-angrepet, der malware førte ned tusenvis av dataterminaler hos et oljeselskap i Midtøsten. "De sjekket at IP-adressene var en del av regionen. Hvis sandkassen din ikke er i det området, vil den ikke kjøres, " sa Kruegel.
Av skadelig programvare LastLine har observert, fortalte Kruegel til SecurityWatch at de fant ut at minst fem prosent allerede brukte stalling-kode.
AV Arms Race
Digital sikkerhet har alltid handlet om opptrapping med mottiltak som møter nye motangrep opp og opp for alltid. Å unngå sandkasser er ikke annerledes, ettersom Kruegels selskap LastLine allerede har forsøkt å undersøke potensiell skadelig programvare dypere ved å bruke en kodemulator og aldri la potensiell skadelig programvare utføre seg selv direkte.
Kruegel sa at de også prøver å "presse" potensiell skadelig programvare til dårlig oppførsel, ved å forsøke å bryte potensielle stoppende løkker.
Dessverre er malware-produsenter uendelig innovative, og mens bare fem prosent har begynt å jobbe for å slå sandkasser, er det en sikker innsats at det er andre som vi ikke vet om. "Hver gang leverandører kommer ut med nye løsninger, tilpasser angripere, og dette sandkassespørsmålet er ikke noe annet, " sa Kruegel.
Den gode nyheten er at selv om det teknologiske push and pull kanskje ikke slutter når som helst snart andre er rettet mot metodene som produsenter av malware bruker for å tjene penger. Kanskje dette vil ramme skurkene der selv den smarteste programmeringen ikke kan beskytte dem: lommebøkene deres.
