Video: En MEGA Kedelig Video! | Spørg Gulde (Oktober 2024)
Udførelse af dynamisk analyse af ukendt software i et kontrolleret miljø - eller "sandboxing" - er et magtfuldt værktøjssikkerhedsfolk, der bruger til at skylle malware ud. De dårlige fyre er dog kloge til teknikken og har introduceret nye tricks til at bryde ud af sandkassen og ind i dit system.
"Dynamisk analyse er den rigtige måde, og mange mennesker gør det, " sagde Christopher Kruegel, medstifter og chefforsker af sikkerhedsfirmaet LastLine. "Men egentlig er det bare at ridse overfladen." Den gamle model til AV-løsninger fokuserede på lister over kendt malware og beskyttet mod alt, der matchede listen. Problemet er, at denne metode ikke kan beskytte mod nul-dages udnyttelse eller utallige variationer på eksisterende malware.
Gå ind i sandboxing, der udfører ukendt software i et kontrolleret miljø, som en virtuel maskine, og ser for at se, om det opfører sig som malware. Ved at automatisere processen har AV-virksomheder været i stand til at give realtidsbeskyttelse mod trusler, de aldrig har set før.
At bryde sandkassen
Det er ikke overraskende, de onde har introduceret nye værktøjer til at narre sandkasser til at ignorere malware og lade det igennem. Kruegel citerede to måder, hvorpå malware er begyndt at gøre dette: den første er brugen af miljømæssige triggere, hvor malware subtilt vil kontrollere for at se, om den kører i et sandkasseret miljø. Malware tjekker undertiden navnet på harddisken, brugerens navn, hvis visse programmer er installeret, eller nogle andre kriterier.
Den anden og mere sofistikerede metode, som Kruegel beskrev, var malware, der faktisk stopper sandkassen ud. I dette scenarie behøver malware ikke at køre nogen kontroller, men anvender i stedet ubrugelige beregninger, indtil sandkassen er tilfreds. Når sandkassen er udløbet, overfører den malware til den faktiske computer. "Malware bliver henrettet på den rigtige vært, gør sin løkke og gør derefter dårlige ting, " sagde Kruegel. "Det er en betydelig trussel mod ethvert system, der bruger en dynamisk analyse."
Allerede i naturen
Varianter af disse sandkassebrydende teknikker har allerede fundet vej til høje profilangreb. Ifølge Kruegel havde angrebet på sydkoreanske computersystemer i sidste uge et meget simpelt system til at undgå detektion. I dette tilfælde sagde Kruegel, at malware kun ville køre på en bestemt dato og tid. ”Hvis sandkassen får den næste dag eller dagen før, gør den ikke noget, ” forklarede han.
Kruegel så en lignende teknik i Aramco-angrebet, hvor malware nedbragte tusinder af computerterminaler hos et olieselskab i Mellemøsten. "De kontrollerede, at IP-adresserne var en del af regionen, hvis din sandkasse ikke er i dette område, ville den ikke udføre, " sagde Kruegel.
Af malware, som LastLine har observeret, fortalte Kruegel til SecurityWatch, at de fandt, at mindst fem procent allerede bruger stalling-kode.
AV Arms Race
Digital sikkerhed har altid handlet om eskalering med modforanstaltninger, der møder nye modangreb op og op for evigt. At undgå sandkasser er ikke anderledes, da Kruegels selskab LastLine allerede har forsøgt at undersøge potentiel malware dybere ved at bruge en kodemulator og aldrig tillade potentiel malware at udføre sig selv direkte.
Kruegel sagde, at de også forsøger at "skubbe" potentiel malware til dårlig opførsel ved at forsøge at bryde potentielle stoppende sløjfer.
Desværre er malware-producenter uendeligt innovative, og selvom kun fem procent er begyndt at arbejde på at slå sandkasser, er det en sikker satsning, at der er andre, som vi ikke kender til. ”Hver gang leverandører kommer med nye løsninger, tilpasser angribere, og dette sandkassespørgsmål er ikke anderledes, ” sagde Kruegel.
Den gode nyhed er, at mens det teknologiske push and pull muligvis ikke slutter når som helst snart andre er rettet mod de metoder, som malware-producenter bruger for at tjene penge. Måske vil dette ramme de onde fyre, hvor selv den smarteste programmering ikke kan beskytte dem: deres tegnebøger.
