Verbesserung einer Sandbox

Die Effektivität einer Sandbox hängt größtenteils von ihrer Fähigkeit ab, eine Arbeitsumgebung realistisch zu simulieren.

Sandboxen sind eines der effektivsten Tools, die es für die Analyse verdächtiger Objekte und die Erkennung bösartiger Verhaltensmuster gibt. Unterschiedliche Implementierungen dieser Technologie werden in einer breiten Palette von Sicherheitslösungen eingesetzt. Allerdings hängt die Genauigkeit der Bedrohungserkennung direkt von der Art und Weise ab, wie die Sandbox die Umgebung emuliert, in der verdächtige Objekte ausgeführt werden.

Was ist eine Sandbox und wie funktioniert sie?

Eine Sandbox ist ein Tool, das eine isolierte Umgebung kreiert, in der das Verhalten verdächtiger Prozesse analysiert werden kann. In der Regel erfolgt dies in einer virtuellen Maschine oder einem Container, was es dem Forscher ermöglicht, potenziell schädliche Objekte zu untersuchen, ohne zu riskieren, eine echte Arbeitsumgebung zu infizieren oder zu beschädigen oder wichtige Unternehmensdaten zu enthüllen.

Die Sandbox der Kaspersky Anti Targeted Attack (KATA)-Plattform funktioniert folgendermaßen: Wenn eine Komponente der Sicherheitslösung ein gefährliches oder verdächtiges Objekt (z. B. eine Datei oder eine URL) erkennt, wird dieses samt den Details der Arbeitsumgebung (Betriebssystemversion, Liste der installierten Programme, Systemeinstellungen usw.) zur Inspektion an die Sandbox gesendet. In der Sandbox wird das Objekt ausgeführt oder zur URL navigiert, wobei alle Artefakte aufgezeichnet werden:

  • Ausführungsprotokolle, darunter System-API-Aufrufe, Datei-Operationen, Netzwerkaktivitäten, URLs und Prozesse, auf die das Objekt zugreift;
  • System- und Speicher-Snapshots (Speicherabzüge oder auch Dumps);
  • Erstellte (entpackte oder heruntergeladene) Objekte;
  • Netzwerkverkehr.

Nach Beendigung des Testszenarios werden die gesammelten Artefakte analysiert und auf Spuren schädlicher Aktivitäten gescannt. Werden entsprechende Hinweise gefunden, wird das Objekt als bösartig markiert, und die identifizierten Techniken, Taktiken und Verfahren werden in die MITRE ATT&CK-Matrix eingetragen. Alle ermittelten Daten werden gespeichert und stehen für weitere Analysen zur Verfügung.

Herausforderungen für Sandboxen

Das größte Problem von Sandboxen ist, dass Cyberkriminelle über sie Bescheid wissen und ihre Methoden zur Umgehung ständig weiterentwickeln. Um den Sandbox-Schutz zu umgehen, entwickeln Angreifer vor allem Technologien zur Erkennung bestimmter Merkmale virtueller Umgebungen. Hierzu suchen sie nach charakteristischen Artefakten oder Zuständen der Sandbox oder nach einem unnatürlichen Verhalten des virtuellen Benutzers. Wenn solche Anzeichen erkannt (oder auch nur vermutet) werden, passt das Schadprogramm sein Verhalten an oder zerstört sich selbst.

Bei Malware, die für zielgerichtete Angriffe eingesetzt wird, untersuchen die Cyberkriminellen akribisch die Konfiguration des Betriebssystems und die auf dem Zielcomputer verwendeten Programme. Nur wenn die Software und das System vollständig den Erwartungen der Angreifer entsprechen, werden schädliche Aktivitäten ausgeführt. Die Malware kann in genau festgelegten Zeitintervallen arbeiten oder nach einer bestimmten Benutzeraktion aktiviert werden.

So lässt sich eine künstliche Umgebung realer gestalten

Um eine potenzielle Bedrohung in einer sicheren Umgebung zum Ausführen zu bewegen, werden kombinierte Ansätze angewandt:

  • Variable und zufällige virtuelle Umgebungen: Erstellung mehrerer Sandboxen mit unterschiedlichen Einstellungs- und Softwarekombinationen
  • Realistische Simulation des Nutzerverhaltens, einschließlich der Eingabegeschwindigkeit von Passwörtern, der Anzeige von Text, der Bewegung des Cursors und des Mausklicks
  • Einsatz eines separaten physischen (nicht virtuellen) Rechners, der vom Arbeitsumfeld isoliert ist, um verdächtige Objekte im Zusammenhang mit Hardware-Angriffen und Gerätetreibern zu analysieren
  • Kombination aus statischer und dynamischer Analyse; Monitoring des Systemverhaltens in regelmäßigen Abständen; Anwendung von Technologien zur Zeitbeschleunigung (Time Acceleration) auf virtuellen Maschinen
  • Einsatz von Abbildern realer Workstations aus der Zielumgebung, einschließlich des Betriebssystems und der Konfiguration von Programmen, Plug-ins und Sicherheitseinstellungen

Unsere Sandbox implementiert jede dieser Techniken: Sie kann das Verhalten eines echten Nutzers emulieren, zufällige Umgebungen bereitstellen und im manuellen oder automatischen Modus arbeiten. Vor kurzem haben wir zudem unsere erweiterte Detection- & Response-Lösung – Kaspersky Anti Targeted Attack Platform – aktualisiert. Mit der integrierten Sandbox können Sie nun benutzerdefinierte Systemabbilder mit einem Betriebssystem Ihrer Wahl (aus der Liste der kompatiblen Betriebssysteme) verwenden und Programme von Drittanbietern installieren. Weitere Informationen über die Plattform finden Sie auf der dedizierten KATA-Seite.

Tipps