Video: Windows Defender Sandbox Test vs Malware (Octombrie 2024)
Efectuarea unei analize dinamice a software-ului necunoscut într-un mediu controlat - sau „sandboxing” - este un instrument puternic care utilizează profesioniștii de securitate pentru a elimina malware. Cu toate acestea, cei răi sunt înțelepți pentru tehnică și au introdus noi trucuri pentru a ieși din sandbox și în sistemul tău.
„Analiza dinamică este calea cea bună și o fac o mulțime de oameni”, a declarat Christopher Kruegel, co-fondator și om de știință al companiei de securitate LastLine. „Dar într-adevăr, asta doar zgârie suprafața”. Modelul vechi pentru soluții AV s-a concentrat pe listele de malware cunoscute și a fost ferit de orice se potrivește cu acea listă. Problema este că această metodă nu se poate feri de exploatările de zi zero sau de nenumăratele variații ale programelor malware existente.
Introduceți sandboxing, care execută software necunoscut într-un mediu controlat, precum o mașină virtuală, și urmărește să vadă dacă se comportă ca un malware. Prin automatizarea procesului, companiile AV au putut oferi protecție în timp real împotriva amenințărilor pe care nu le-au mai văzut.
Spargerea cutiei de nisip
În mod surprinzător, băieții răi au introdus noi instrumente pentru a păcăli sandbox-urile în ignorarea malware-ului și înlăturarea acestuia. Kruegel a menționat două moduri în care malware-ul a început să facă acest lucru: primul este utilizarea declanșatoarelor de mediu, unde malware-ul va verifica subtil pentru a vedea dacă rulează într-un mediu cu nisip. Programele malware vor verifica uneori numele hard disk-ului, numele utilizatorului, dacă sunt instalate anumite programe sau alte criterii.
A doua și mai sofisticată metodă pe care Kruegel a descris-o a fost malware-ul care de fapt a eliminat sandbox-ul. În acest scenariu, malware-ul nu trebuie să efectueze nicio verificare, ci în schimb face calcule inutile până când sandbox-ul este satisfăcut. După ce sandboxul a expirat, acesta transmite malware-ul pe computerul propriu-zis. "Programul malware este executat pe gazda reală, își face bucla și apoi face lucruri rele", a spus Kruegel. „Este o amenințare semnificativă pentru orice sistem care folosește o analiză dinamică”.
Deja în sălbăticie
Variantele de la aceste tehnici de spargere a nisipurilor și-au găsit deja drum în atacuri cu profil înalt. Potrivit lui Kruegel, atacul asupra sistemelor informatice sud-coreene a avut săptămâna trecută un sistem foarte simplu pentru a evita detectarea. În acest caz, Kruegel a spus că programele malware vor rula doar la o anumită dată și oră. „Dacă sandbox-ul îl primește a doua zi sau cu o zi înainte, nu face nimic”, a explicat el.
Kruegel a văzut o tehnică similară în atacul de la Aramco, în care malware-ul a dat jos mii de terminale de calculator la o companie petrolieră din Orientul Mijlociu. „Verificau dacă adresele IP făceau parte din regiunea respectivă, dacă cutia dvs. de nisip nu se află în acea zonă, nu se va executa”, a spus Kruegel.
Dintre malware-ul observat de LastLine, Kruegel a declarat pentru SecurityWatch că au descoperit că cel puțin cinci la sută foloseau deja codul de blocare.
AV Arms Race
Securitatea digitală a fost întotdeauna în legătură cu escaladarea, cu măsuri contra-atacuri care au fost luate în opțiune. Evadarea casetelor de nisip nu este diferită, întrucât compania lui Kruegel LastLine a încercat deja să investigheze potențial malware adânc, folosind un emulator de coduri și niciodată permițând potențialului malware să se execute direct.
Kruegel a spus că, de asemenea, încearcă să „împingă” potențialul malware în comportament rău, încercând să rupă buclele potențiale de blocare.
Din păcate, producătorii de malware sunt inovatoare la nesfârșit și, deși doar cinci la sută au început să lucreze pentru a bate cutii de nisip, este un pariu sigur că există și altele despre care nu știm. "Ori de câte ori vânzătorii ies cu soluții noi, atacatorii se adaptează, iar această problemă a cutiei de nisip nu este diferită", a spus Kruegel.
Vestea bună este că, în timp ce impulsul tehnologic nu poate înceta oricând, în curând, alții vizează metodele pe care producătorii malware le folosesc pentru a face bani. Poate că acest lucru îi va lovi pe cei răi în care chiar și cea mai inteligentă programare nu îi poate proteja: portofelele lor.
