Advanced Threats

Wie man eine Sandbox vor intelligenten Cyber-Angriffen verstecken kann

Wie man eine Sandbox vor intelligenten Cyber-Angriffen verstecken kann

Malware-Umgehungstaktiken aushebeln

Malware beinhaltet oft fortgeschrittene Techniken, um die Security-Analyse und Entdeckung durch Firewalls und Sandboxes zu umgehen. Wenn eine Malware Anzeichen entdeckt, dass eine dynamische Analyse durchgeführt wird, kann sie verschiedene Techniken aufrufen, um die Erkennung zu umgehen. Indem sie beispielsweise das Verhalten harmloser Dateien nachahmt, die normalerweise von Bedrohungserkennungssystemen ignoriert werden.

Herkömmliche Sandboxing-Ansätze, die ihre eigene Präsenz signalisieren – zum Beispiel durch die Instrumentierung zugrunde liegender virtueller Maschinen (VMs) – machen die Analyseumgebung sichtbar. Sollte die Malware Scan-Umgebung erkennen, würde sie in einen Tarnmodus verfallen und sich selbst verbergen.

Aus diesem Grund konzentrieren sich immer mehr Malware-Autoren auf die Entwicklung von Umgehungstaktiken. Daher ist es wichtig einen multidisziplinären Ansatz für die Analyse von verdächtigem Code anzuwenden, insbesondere für die Erkennung und Analyse von Ransomware und Malware, die den Diebstahl von Anmeldeinformationen im Fokus haben.

Eine Multi-Engine-Sandbox-Plattform, wie beispielsweise die Capture Advanced Threat Protection (ATP) erkennt effizient, was der Code auf dem Betriebssystem oder der Software der Opfer-Hardware tun will. SonicWall ist dafür eine technologische Partnerschaft mit VMRay eingegangen, um die agentenlose Hypervisor-Level-Analysetechnologie als eine der drei leistungsfähigen Capture-ATP-Engines zu nutzen. Die VMRay-Technologie führt den verdächtigen Code aus, analysiert Änderungen im Speicher eines Systems, erkennt bösartige Aktivitäten und beugt gleichzeitig potentielle Umgehungstaktiken vor, um somit die Zero-Day-Bedrohungserkennung zu maximieren.

Dynamische Malware Analyse

VMRay bietet einen agentenlosen Hypervisor-basierten Ansatz für die dynamische Malware-Analyse. Der Hypervisor ist die grundlegende Plattform, die virtuelle Maschinen auf der zugrunde liegenden Hardware erstellt, ausführt und verwaltet. Die meisten Sandboxing-Lösungen verwenden einen Hypervisor als Startplattform für die angeschlossenen oder überwachten Emulatoren oder virtuellen Maschinen.

VMRay wird als Teil des Hypervisors auf dem Host-Betriebssystem ausgeführt

VMRay verfolgt dabei einen anderen Ansatz zur Sandbox-Analyse, indem die Aktivität der Zielmaschine vollständig von außen, mithilfe des Virtual Machine Introspection (VMI) überwacht wird. VMRay kombiniert CPU-Hardware-Virtualisierungserweiterungen mit einem innovativen Überwachungskonzept, auch intermodulares Transition Monitoring (ITM) genannt. Die agentenlose Überwachung von VMs liefert ein natives BS, das ohne Emulation ausgeführt wird, um eine Erkennung durch fortschrittliche Malware zu vermeiden. VMRay läuft als Teil des Hypervisors auf dem Host-Betriebssystem, das wiederum auf Bare-Metal basiert.

Da VMs in der Sandbox nicht instrumentiert werden, bleiben die durchgeführten Analysefunktionen für die angreifenden Malware-Varianten unsichtbar. Dadurch wird die Malware-Umgehungstechnik ausgehebelt.

Der agentenlose Hypervisor-basierte Ansatz von VMRay liefert in Kombination mit dem Capture ATP-Cloud-Service, detaillierte Analyseergebnisse, eine Extraktion von IOCs, eine Echtzeit-Erkennung mit hohem Volumen und die Möglichkeit die eingebauten Umgehungstechniken der Malware auszuhebeln.