Video: Windows Defender Sandbox Test vs Malware (September 2024)
Att utföra dynamisk analys av okänd programvara i en kontrollerad miljö - eller "sandlåda" - är ett kraftfullt verktyg för säkerhetsverksamhet som använder för att spola bort skadlig programvara. Men de dåliga killarna är kloka med tekniken och har introducerat nya knep för att bryta ut ur sandlådan och i ditt system.
"Dynamisk analys är rätt sätt, och många människor gör det, " sade Christopher Kruegel, medgrundare och chefforskare för säkerhetsföretaget LastLine. "Men egentligen är det bara att skrapa ytan." Den gamla modellen för AV-lösningar fokuserade på listor över känd skadlig programvara och skyddades mot allt som matchade listan. Problemet är att den här metoden inte kan skydda mot nolldagars utnyttjande eller de otaliga variationerna på befintlig skadlig programvara.
Ange sandboxning, som kör okänd programvara i en kontrollerad miljö, som en virtuell maskin, och tittar för att se om den beter sig som skadlig programvara. Genom att automatisera processen har AV-företag kunnat ge realtidsskydd mot hot de aldrig sett tidigare.
Breaking the Sandbox
Det är inte förvånande att de onda killarna har infört nya verktyg för att lura sandlådor för att ignorera skadlig programvara och låta det gå igenom. Kruegel citerade två sätt på vilka skadlig kod har börjat göra detta: det första är användningen av miljöutlösare, där skadlig programvara subtilt kommer att kontrollera om den körs i en sandlådad miljö. Malware kommer ibland att kontrollera namnet på hårddisken, användarens namn, om vissa program är installerade eller några andra kriterier.
Den andra och mer sofistikerade metoden som Kruegel beskrev var skadlig programvara som faktiskt stannar ut sandlådan. I det här scenariot behöver inte skadlig programvara köra några kontroller utan istället värdelösa beräkningar förrän sandlådan är nöjd. När sandlådan har avbrutits överför den skadlig programvara till den faktiska datorn. "Malware körs på den verkliga värden, gör sin slinga och gör då dåliga saker, " sade Kruegel. "Det är ett betydande hot mot alla system som använder en dynamisk analys."
Redan i naturen
Varianter av dessa sandlådbrytande tekniker har redan hittat vägen till högprofilerade attacker. Enligt Kruegel hade attacken mot sydkoreanska datasystem förra veckan ett mycket enkelt system för att undvika upptäckt. I så fall sa Kruegel att skadlig programvara bara skulle köras på ett visst datum och tid. "Om sandlådan får den nästa dag, eller dagen innan, gör den ingenting", förklarade han.
Kruegel såg en liknande teknik i Aramco-attacken, där skadlig programvara förde ner tusentals datorterminaler på ett oljeföretag i Mellanöstern. "De kontrollerade att IP-adresserna var en del av regionen, om din sandlåda inte är i det området, skulle den inte köras, " sa Kruegel.
Av skadlig kod som LastLine har observerat berättade Kruegel till SecurityWatch att de fann att minst fem procent redan använde stallingkod.
AV Arms Race
Digital säkerhet har alltid handlat om upptrappning med motåtgärder som möter nya motattacker för alltid. Att undvika sandlådor är inte annorlunda, eftersom Kruegels företag LastLine redan har försökt undersöka potentiell skadlig kod djupare genom att använda en kodemulator och aldrig låta potentiell skadlig programvara köra sig själv direkt.
Kruegel sa att de också försöker "pressa" potentiell skadlig programvara till dåligt beteende genom att försöka bryta potentiella stoppande slingor.
Tyvärr är skadeprodusentproducenter oändligt innovativa och medan bara fem procent har börjat arbeta för att slå sandlådor, är det en säker satsning att det finns andra som vi inte vet om. "När leverantörer kommer ut med nya lösningar, anpassar angriparna, och denna sandlådefråga är inte annorlunda, " sade Kruegel.
Den goda nyheten är att även om den tekniska push and pull kanske inte slutar när som helst snart andra är inriktade på de metoder som skadeproducenter använder för att tjäna pengar. Kanske kommer det att träffa de dåliga killarna där till och med den smartaste programmeringen inte kan skydda dem: deras plånböcker.
