Sandboxing
Warum Signaturen und Heuristik nicht länger ausreichen
Warum Netzwerk-Sandboxing bei der Abwehr von Ransomware unverzichtbar ist
Firewalls der nächsten Generation nutzen Signaturen und Heuristik mit großem Erfolg. Für die Abwehr der neuesten Angriffsformen sind sie aber nicht länger ausreichend. Die Herausforderungen durch gezielte Angriffe und Zero-Day-Bedrohungen machen den Einsatz von Sandboxing als Teil der Netzwerksicherheit unabdingbar.
Die wirkliche Herausforderung verstehen und Lösungen finden
Im Bereich der Informationstechnik wächst das externe Bedrohungspotenzial mit erstaunlicher Geschwindigkeit. Angreifer kombinieren opportunistische Automatisierung mit dem analytischen Denkansatz eines Softwareanbieters und entwickeln ihre Angriffe ständig weiter – stets mit dem Ziel, ihre Reichweite zu maximieren und dabei unerkannt zu bleiben. Aufgrund der negativen Auswirkungen auf Organisationen, bei denen es zu einer Datenschutzverletzung oder einer Ransomware-Attacke kommt, ist es für IT-Organisationen von höchster Bedeutung, Schadsoftware zu erkennen, bevor sie im Netzwerk Schaden anrichten kann.
Die wirkliche Herausforderung liegt dabei nicht im Bereich der Ransomware, die bereits im Internet verbreitet ist – das wirkliche Problem sind gezielte Angriffe und Zero-Day-Bedrohungen. Gezielte Angriffe nutzen neuen, bislang unbekannten Code, der für die Attacke auf diese spezifische Organisation entwickelt worden ist, während Zero-Day-Bedrohungen neu entdeckte Sicherheitslücken ausnutzen, für die von Seiten der Anbieter noch kein Patch geliefert wurde. Diese Angriffsarten stellen für Organisationen das größere Problem dar, da sie in der Regel viel erfolgreicher sind als ältere Angriffstypen. Wie können Sie also am besten verhindern, dass Sie mit Bedrohungen konfrontiert werden, die ihren Ausgangspunkt innerhalb Ihres Netzwerks haben?
Sie haben verschiedene Möglichkeiten, an welcher Stelle Sie ansetzen und wie Sie bösartige Angriffe entdecken und eliminieren wollen. Das Ziel ist es dabei, die Schadsoftware so nah wie möglich am Ursprung des Angriffs zu entdecken und zu entfernen. Bei der Frage nach dem Ansatzpunkt der Verteidigung verfolgen Organisationen typischerweise einen von zwei Ansätzen: den Ansatz der Endpunktsicherheit, bei dem die Schadsoftware sich bis zu einem Endpunkt vorarbeitet und dann entdeckt und eliminiert wird, und den Sandboxing-Ansatz, bei dem Schadsoftware identifiziert und eliminiert wird, bevor sie in das Netzwerk gelangt. Bis eine 100-prozentige Lösung gefunden ist, werden vermutlich beide Technologien eine wichtige Rolle spielen. Sandboxing kann einen präventiven Vorteil bringen – wenn man es richtig einsetzt.
Die Schadsoftware von heute ist so hoch entwickelt, dass ihre Entdeckung einen mehrdimensionalen Ansatz erfordert. Signaturen und Heuristik stoßen dabei jedoch beide an ihre Grenzen.
Schadsoftware abwehren
Wenn Sie sich Ihr Netzwerk als eine Festung vorstellen, wird klar, dass das Eingangstor der beste Ort ist, um einen Angriff zu stoppen. Es ist ein Punkt, an dem alles und jeder inspiziert werden kann, bevor der Eintritt gestattet wird. Indem Sie eine Lösung implementieren, die Schadsoftware unmittelbar nach dem Passieren Ihrer modernen Firewall (NGFW) entdecken kann, platzieren Sie einen Wachposten am Festungstor. Nichts kann hereinkommen, ohne dass die Wache darüber Bescheid weiß. Der Datenverkehr wird nach seinem Eintreffen gescannt. Dabei werden verschiedene Methoden zur Entdeckung von Schadsoftware eingesetzt:
Signaturen
Der Datenverkehr wird mit Hilfe einer Datenbank gescannt, die digitale Signaturen von Schadsoftware enthält. Softwarecode, der mit der Signatur übereinstimmt, wird als bösartig gekennzeichnet.
Heuristik
Im Gegensatz zum Signatur-Scanning, bei dem nach spezifischen Übereinstimmungen mit einer Datenbank gesucht wird, benutzt Heuristik-Scanning Regeln und Algorithmen, um Code aufzuspüren, der einen schädlichen Zweck haben kann.
Sandboxing
Anstatt den Code nach Schadsoftware-Signaturen oder bösartigen Absichten zu durchsuchen, wird mit Hilfe der Sandbox der Code ausgeführt und sein Verhalten auf schädliche Aktivitäten hin untersucht. Dieser Prozess findet in einer für diesen Zweck bereitgestellten Umgebung statt – der Sandbox –, in der die Software keinen Schaden anrichten kann.
Der Einsatz dieser Kombination von Taktiken ist effizienter und effektiver, da einfach identifizierbare Bedrohungen durch die traditionellen Technologien entdeckt werden können, die schneller arbeiten und weniger ressourcenaufwändig sind. Dies gestattet es der Sandbox, sich auf die Inhalte zu konzentrieren, bei denen diese intensive Prüfung auch wirklich erforderlich ist.
Warum Signaturen und Heuristik allein nicht ausreichen
Signaturbasierte Erkennung ist nur so gut wie die Datenbank, die sie zur Identifizierung von Schadsoftware benutzt. Auch wenn Ihre Datenbank immer auf dem neuesten Stand ist, kann Ihnen ein Angriff entgehen, da die Anbieter von Virenschutzprogrammen eine gewisse Vorlaufzeit brauchen, Malware zu identifizieren, ihre Datenbank zu aktualisieren und Ihnen die aktuellen Daten bereitzustellen. Außerdem wissen die Autoren von Schadsoftware über signaturbasierte Erkennung Bescheid und versuchen, sie zu umgehen.
Auch heuristikbasierte Erkennung ist nicht perfekt. Wenn ein Teil eines Softwarecodes nicht in das erwartete Muster passt, kann es zu falschen Positivergebnissen kommen. Außerdem kann schädlicher Programmcode in manchen Fällen anfänglich als harmlos erscheinen, bis er am Backend zu einem schädlichen Programm zusammengesetzt wird – in diesen Fällen ist Heuristik nutzlos.
Ein Beispiel dafür ist Ransomware. Der zunächst heruntergeladene Code ist für sich genommen nicht schädlich. Der Code wird erst gefährlich, nachdem er sich mit einem Command-and-Control-Server verbindet und zusätzlichen Programmcode herunterlädt. Ein weiteres Beispiel ist ein Makro in einem Microsoft Word-Dokument. Wenn ein schädliches Makro keine bekannte oder verdächtig erscheinende Angriffsmethode benutzt, können Ihnen weder Signaturen noch Heuristik sagen, ob das Makro an sich gutartig oder bösartig ist.
Die Benutzung von Signaturen oder Heuristik zum passiven Scannen von Datenverkehr hat also seine Grenzen. Beim Scanning wird der Code nicht aktiv und Angreifer haben mittlerweile gelernt, ihren Schadcode vor Scannern in „gutem“ Code zu verstecken. Der effektivste Ansatz zur Entdeckung von Schadcode ist daher die Interaktion mit einer vollständig scharf gemachten Version.
Mit Feuer spielen
Die einzige Möglichkeit zur Entdeckung hochentwickelter Schadsoftware ist es, sie zur „Detonation“ zu bringen.
Der Detonationsprozess unterscheidet sich dabei grundlegend von einem einfachen Scan. Der Unterschied ist etwa so groß wie der zwischen dem Züchten gefährlicher Bakterienkulturen in einem Hochsicherheitslabor auf der einen Seite und dem Auslösen einer Bombe in einer Sicherheitskammer. Die Sandbox bietet eine sichere Umgebung, in der abgefangene Daten unter Beobachtung geöffnet und ausgeführt werden können. Wenn dabei verdächtige oder schädliche Aktivitäten beobachtet werden, können die Datei und die enthaltene Bedrohung zusammen eliminiert werden.
Sandboxes versuchen, Dateien aller Art auszuführen:
- Dateien mit aktiven Inhalten: Dazu gehören ausführbare Dateien, Skripte und DLLs. Diesen Dateien wird gestattet, innerhalb der Sandbox normal zu laufen und mit der Sandbox zu interagieren. Dabei werden sie auf schädliche Verhaltensweisen wie etwa die Modifizierung der Firewall-Einstellungen des Betriebssystems oder die Herstellung ausgehender Internetverbindungen überwacht.
- Dateien mit passiven Inhalten: Dazu gehören alle Arten von Dokumentdateien, PDFs, komprimierte Dateien (zum Beispiel ZIP, JZIP, RAR) und sogar Image-Dateien. Diese Dateien werden mit Hilfe ihrer Standardanwendung ausgeführt, um sie auf schädliche Aktivitäten zu überprüfen. Dies kann zum Beispiel geschehen, wenn ein Word-Makro versucht, zusätzliche Daten aus dem Internet herunterzuladen. Passive Dateien können nur dann ausgeführt werden, wenn die notwendigen Softwareprogramme dafür in der Sandbox verfügbar sind. Sie sollten Ihre Sandbox so konfigurieren, dass sie möglichst viele Dateiarten untersuchen kann.
Malware in einem Bild
Sie fragen sich vielleicht, warum Image-Dateien geprüft werden müssen, da sie ja eigentlich eine der scheinbar harmlosen Dateiarten sind. Aber Image-Dateien können schädliche Daten-Payloads enthalten. Als Beispiel ist ein Angriff aus jüngerer Zeit in Brasilien zu nennen, bei dem ein PDF-Anhang einen Link zu einer ZIP-Datei enthielt. Innerhalb der ZIP-Datei befanden sich eine ausführbare Datei und eine Bilddatei im PNG-Format. Das PNG-Bild war nicht groß (weniger als 64 Pixel im Quadrat), die Datei hatte aber eine Größe von über 1 MB. Bei Überprüfung des enthaltenen ausführbaren Codes wurde klar, dass sein Zweck darin lag, einen versteckten bösartigen Binärcode aus der PNG heraus zu extrahieren und auszuführen.
Verbesserung von Signaturen mit der Sandbox
Wie bereits erläutert stellt ein mehrdimensionaler Ansatz die beste Möglichkeit zur Ausführung von Schadsoftware dar. Die Verbesserung einer der beiden passiven Scanmethoden kann die Effizienz des Erkennungsprozesses erhöhen, da der Abgleich mit einer Signaturdatenbank viel weniger CPU-Zyklen benötigt als die Generierung und der Betrieb einer Sandbox, die in der Lage ist, eine einzelne Instanz eines Schadcodes zu detonieren.
Neben der Detonation kann Sandboxing außerdem dazu genutzt werden, Signaturen von identifizierten Schadcodes herzustellen – schließlich können in der Sandbox die Aktivitäten der Schadsoftware live und aus nächster Nähe betrachtet werden. Wenn ein Schadcode identifiziert ist, wird eine Signatur angelegt. Die Signaturdatenbank kann dann mit diesen Daten aktualisiert werden, was die Geschwindigkeit und Präzision künftiger Scanvorgänge verbessert.
Trotzdem haben passive Scantechniken beim Aufspüren von Schadsoftware Schwachstellen. Man muss sich daher die Frage stellen, ob die Sandbox erfolgreicher ist oder nicht.
Die umfangreichen Maßnahmen, die von den Autoren von Schadsoftware ergriffen werden, um den eigentlichen Schadcode zu tarnen, verdeutlichen die Notwendigkeit der Sandbox und wie wichtig es ist, alle Dateien, die in Ihr Netzwerk gelangen, im Rahmen eines Detonationsversuchs zu überprüfen.
Funktionsweise einer Sandbox
Die Sandbox dient als „Opfer“-Umgebung und überwacht potenzielle Schadsoftware auf ihre Interaktionen mit dem Betriebssystem. Eine Sandbox sucht nach dem folgenden Verhalten:
- Betriebssystem-Aufrufe: dies umfasst die Überwachung von System-Calls und API-Funktionen
- Änderungen am Dateisystem: sämtliche Aktionen einschließlich anlegen, ändern, löschen und verschlüsseln von Dateien
- Netzwerkänderungen: das Herstellen von ungewöhnlichen ausgehenden Verbindungen
- Änderungen an der Registrierung: jegliche Änderungen zur Festlegung von Persistenz oder Änderungen an Sicherheits- oder Netzwerkeinstellungen
- Kontext: Überwachung von Befehlen, die ein Programm zwischen Betriebssystem-Aufrufen ausführt zur kontextuellen Ergänzung der anderen Beobachtungen
Wie wirksam ist eine Sandbox?
Signaturbasierte Anerkennungsverfahren eignen sich hervorragend zum Aufspüren bereits bekannter Schadsoftware, ist aber nicht in der Lage, Zero-Day-Angriffe abzuwehren oder Angriffe, die nicht zu einer Signatur passen aufgrund von Mutation). Die heuristische Überprüfung ist ein Schritt in die richtige Richtung – sie sucht nach ungewöhnlichen Mustern im Code. Das Beispiel aus Brasilien mit der bösartigen Image-Datei zeigt jedoch, dass dies dadurch umgangen werden kann, dass die zunächst sichtbaren Dateien (zum Beispiel eine PDF-Datei mit einem Link zu einer externen ZIP-Datei) keine Hinweise auf eine Gefahr geben.
Warum ist die Sandbox so effektiv bei der Erkennung von Schadsoftware? Auch bei Zero-Day-Angriffen, für die keine Signatur vorhanden ist und die aus bislang völlig unbekannt im Code bestehen, kann Sandboxing funktionieren und ist dann die einzige Methode zur Entdeckung bösartigen Verhaltens. Es gibt eine begrenzte Zahl von Aktionen, die für Schadsoftware typisch sind – dazu gehört das Herstellen externer Verbindungen, das Herunterladen zusätzlicher Daten, der Verbindungsaufbau mit einem C2-Server und der Versuch von Änderungen am Betriebssystem. Diese Aktionen sind für normale, arbeitsbezogene Dateien häufig nicht notwendig.
Fazit
Es gibt verschiedene Wege, Ihre Organisation vor Schadsoftware zu schützen. Obwohl der Endpunkt-Schutz wichtig ist, kann es für eine Organisation gefährlich sein, Schadsoftware in das Netzwerk gelangen zu lassen. Sandboxing bietet die Möglichkeit, Bedrohungen zu stoppen, bevor sie in das Netzwerk gelangen.
Weitere Informationen finden Sie hier. Erfahren Sie mehr über wichtige Alleinstellungsmerkmale, die für Ihre Sandbox-Strategie relevant sind. Lesen Sie unsere Lösungsübersicht zur Implementierung von Sandbox-Strategien: Putting a solid sandbox strategy in place