Sandboxing-Techniken werden zunehmend ausgehebelt

Websense-Analyse: So hebeln Hacker das Sandboxing aus

Die ständige Weiterentwicklung von Schadsoftware durch Cyber-Kriminelle hat den traditionellen Sicherheitsansatz der Unternehmen in den letzten Jahren an seine Grenzen gebracht. Signaturbasierte Systeme wie Antiviren-Software oder Firewalls sind nicht länger in der Lage, den ausgefeilten Methoden moderner Bedrohungen stand zu halten.

Dies hat zu einer immer weiteren Verbreitung von Sandboxing-Techniken geführt. Dabei werden verdächtige Dateien erst einmal in einem isolierten Bereich (“Sandkasten”) ausgeführt und untersucht, der keinerlei Verbindung zur restlichen Umgebung hat. Erweist sich die Datei dabei als Malware, kann sie so keinen Schaden anrichten.

Doch die Cyber-Kriminellen haben darauf schnell reagiert – und ihre Software mit der Fähigkeit ausgestattet, das Sandboxing auszuhebeln. Dafür genügte es zunächst, ihren Schadcode einfach mit einer Zeitverzögerung auszustatten. Diese verhinderte, dass die Schadprogramme sofort ausgeführt werden, wodurch sie die Sandbox unerkannt passieren konnten. Die Antwort der Sicherheits-Anbieter: Sie versetzten ihre Systeme in die Lage, zeitverzögernde Parameter in Programmcodes zu erkennen.

Doch der Konter ließ nicht lange auf sich warten. Die neueste Malware ist immer häufiger in der Lage, Sandbox-Instanzen aufzuspüren. In letzter Zeit häufen sich die Fälle, in denen die Angreifer Sandbox-Umgebungen erkennen und dann deren Ressourcen mit schadfreier Software auslasten – um parallel ungestört ihre Malware absetzen zu können. Das Erschreckendste dabei: Auf Webseiten wie Pastebin.com finden sich mittlerweile Mustercodes für diese Methodik. Alles, was Cyber-Kriminelle tun müssen, ist ihn per Copy-and-Paste zu ihren eigenen Schadcodes hinzuzufügen.

Was tun? Den vielversprechendsten Ansatz zur Abwehr dieser Gefahren liefert das cloudbasierte Sandboxing. Zum einen ist es dynamisch skalierbar, so dass die Ressourcen – im Gegensatz zu entsprechenden Vor-Ort-Installationen – keine Grenze mehr darstellen. Zum anderen ermöglicht es dem Sicherheits-Anbieter, die Systeme konstant up-to-Date zu halten und dadurch mit den Autoren der Schadsoftware Schritt zu halten. Die Security-Lösung Websense TRITON beispielsweise nutzt hierfür über 10.000 Analysen aus einem speziellen Sicherheits-Netzwerk, die ständig aktualisiert werden.

“Die Verstärkung ihrer Sandboxing-Umgebung wird für Unternehmen angesichts der raffinierten Tricks von Cyber-Kriminellen immer wichtiger”, erläutert Michael Rudrich, Regional Director Central Europe & Eastern Europe bei Websense in München. “Die Cloud-Technologie bietet hier mit ihren ureigenen Stärken – hohe Skalierbarkeit und die Möglichkeit zur Echtzeit-Aktualisierung – die besten Voraussetzungen.”