Video: Windows Defender Sandbox Test vs Malware (November 2024)
Het uitvoeren van dynamische analyse van onbekende software in een gecontroleerde omgeving (of "sandboxing") is een krachtig hulpmiddel dat beveiligingsprofessionals gebruiken om malware te verwijderen. De slechteriken zijn echter wijs in de techniek en hebben nieuwe trucs geïntroduceerd om uit de sandbox en in je systeem te breken.
"Dynamische analyse is de juiste manier, en veel mensen doen het", zegt Christopher Kruegel, mede-oprichter en hoofdwetenschapper van het beveiligingsbedrijf LastLine. "Maar echt, dat is gewoon het oppervlak krassen." Het oude model voor AV-oplossingen was gericht op lijsten met bekende malware en beschermde tegen alles wat met die lijst overeenkwam. Het probleem is dat deze methode zich niet kan beschermen tegen zero-day exploits of de ontelbare variaties op bestaande malware.
Voer sandboxing in, die onbekende software uitvoert in een gecontroleerde omgeving, zoals een virtuele machine, en kijkt of deze zich als malware gedraagt. Door het proces te automatiseren, hebben AV-bedrijven realtime bescherming kunnen bieden tegen bedreigingen die ze nog nooit eerder hebben gezien.
De zandbak breken
Het is niet verwonderlijk dat de slechteriken nieuwe tools hebben geïntroduceerd om sandboxen te misleiden om de malware te negeren en door te laten. Kruegel noemde twee manieren waarop malware dit begon te doen: de eerste is het gebruik van triggers in de omgeving, waarbij de malware subtiel zal controleren of deze in een sandbox-omgeving wordt uitgevoerd. Malware controleert soms de naam van de harde schijf, de naam van de gebruiker, als bepaalde programma's zijn geïnstalleerd of andere criteria.
De tweede en meer geavanceerde methode die Kruegel beschreef, was malware die de sandbox daadwerkelijk blokkeert. In dit scenario hoeft de malware geen controles uit te voeren, maar worden nutteloze berekeningen uitgevoerd totdat de sandbox tevreden is. Nadat de time-out van de sandbox is verlopen, wordt de malware doorgegeven aan de eigenlijke computer. "De malware wordt op de echte host uitgevoerd, doet zijn loop en doet dan slechte dingen", zei Kruegel. "Het is een belangrijke bedreiging voor elk systeem dat een dynamische analyse gebruikt."
Al in het wild
Varianten op deze sandbox-brekende technieken hebben al hun weg gevonden naar spraakmakende aanvallen. Volgens Kruegel had de aanval op Zuid-Koreaanse computersystemen vorige week een heel eenvoudig systeem om detectie te voorkomen. In dat geval zei Kruegel dat de malware alleen op een bepaalde datum en tijd zou werken. "Als de sandbox hem de volgende dag of de dag ervoor krijgt, doet hij niets", legde hij uit.
Kruegel zag een vergelijkbare techniek in de Aramco-aanval, waarbij malware duizenden computerterminals bij een oliemaatschappij in het Midden-Oosten ten val bracht. "Ze waren aan het controleren of de IP-adressen deel uitmaakten van die regio, als uw sandbox zich niet in dat gebied zou bevinden, zou deze niet worden uitgevoerd", aldus Kruegel.
Van de malware die LastLine heeft waargenomen, vertelde Kruegel SecurityWatch dat ze ontdekten dat ten minste vijf procent al blokkeercode gebruikte.
De AV Arms Race
Digitale beveiliging ging altijd over escalatie met tegenmaatregelen die steeds weer nieuwe tegenaanvallen tegemoet kwamen. Sandboxen ontwijken is niet anders, omdat Lastegel van Kruegel al heeft geprobeerd potentiële malware dieper te onderzoeken door een code-emulator te gebruiken en nooit toe te staan dat potentiële malware zichzelf rechtstreeks uitvoert.
Kruegel zei dat ze ook proberen potentiële malware in slecht gedrag te "duwen", door te proberen potentiële blokkerende lussen te doorbreken.
Helaas zijn malwareproducenten eindeloos innovatief en hoewel slechts vijf procent is begonnen met het verslaan van sandboxen, is het zeker dat er anderen zijn die we niet kennen. "Telkens wanneer leveranciers met nieuwe oplossingen komen, passen aanvallers zich aan, en dit probleem met de sandbox is niet anders", aldus Kruegel.
Het goede nieuws is dat hoewel de technologische push en pull misschien niet op elk moment stopt, anderen zich richten op de methoden die malwareproducenten gebruiken om geld te verdienen. Misschien zal dit de slechteriken treffen waar zelfs de slimste programmering hen niet kan beschermen: hun portemonnee.
