Domov Securitywatch Nudný malware sa vkráda antivírusovým sandboxom

Nudný malware sa vkráda antivírusovým sandboxom

Video: Post Malone - Saint-Tropez (Official Video) (November 2024)

Video: Post Malone - Saint-Tropez (Official Video) (November 2024)
Anonim

Vykonávanie dynamickej analýzy neznámeho softvéru v kontrolovanom prostredí - alebo „sandboxing“ - je výkonný odborník na zabezpečenie nástrojov, ktorý používa na odstránenie škodlivého softvéru. Zlí chlapci sú však múdri na túto techniku ​​a zavádzajú nové triky, ktoré majú vymaniť sa z karantény a do vášho systému.

„Dynamická analýza je správna cesta a veľa ľudí to robí, “ povedal Christopher Kruegel, spoluzakladateľ a vedecký pracovník bezpečnostnej spoločnosti LastLine. „Ale v skutočnosti je to iba poškriabanie povrchu.“ Starý model riešení AV sa zameriaval na zoznamy známeho škodlivého softvéru a chránil pred všetkým, čo sa zhoduje s týmto zoznamom. Problém je v tom, že táto metóda nemôže chrániť pred zneužitím v nulovom dni alebo nespočetnými zmenami existujúceho škodlivého softvéru.

Zadajte karanténu, ktorá spúšťa neznámy softvér v kontrolovanom prostredí, napríklad vo virtuálnom počítači, a sledujte, či sa správa ako malware. Automatizáciou procesu boli spoločnosti AV schopné zabezpečiť ochranu v reálnom čase proti hrozbám, ktoré nikdy predtým nevideli.

Rozbiť karanténu

Nie je prekvapením, že zbabelci zaviedli nové nástroje na oklamanie pieskovísk do ignorovania škodlivého softvéru a jeho prepustenia. Kruegel citoval dva spôsoby, ako to malvér začal: prvým je použitie spúšťačov v prostredí, kde malvér dôkladne skontroluje, či beží v izolovanom prostredí. Škodlivý softvér niekedy skontroluje názov pevného disku, meno používateľa, ak sú nainštalované určité programy, alebo nejaké ďalšie kritériá.

Druhou a sofistikovanejšou metódou, ktorú opísal Kruegel, bol malware, ktorý v skutočnosti zastavuje karanténu. V tomto scenári malware nemusí spúšťať žiadne kontroly, ale namiesto toho robí zbytočné výpočty, kým nie je karanténa spokojná. Keď časový limit karantény vyprší, malware sa prenesie na skutočný počítač. „Malvér sa popravuje na skutočnom hostiteľovi, robí jeho slučku a potom robí zlé veci, “ povedal Kruegel. „Je to významná hrozba pre akýkoľvek systém, ktorý používa dynamickú analýzu.“

Už vo voľnej prírode

Varianty týchto techník lámania karantény už našli cestu k útokom na vysokej úrovni. Podľa Kruegela mal útok na juhokórejské počítačové systémy minulý týždeň veľmi jednoduchý systém, ktorý zabránil odhaleniu. V takom prípade Kruegel uviedol, že malware by sa mal spustiť iba v určitý dátum a čas. „Ak to karanténa dostane nasledujúci deň alebo deň skôr, nič neurobí, “ vysvetlil.

Kruegel videl podobnú techniku ​​pri útoku na Aramco, kde malware zničil tisíce počítačových terminálov v ropnej spoločnosti na Blízkom východe. „Kontrolovali, že adresy IP boli súčasťou tejto oblasti, ak sa vaše karanténne zariadenie nenachádza v tejto oblasti, nevykonalo by sa to, “ povedal Kruegel.

Zo škodlivého softvéru, ktorý spoločnosť LastLine zistila, Kruegel povedal spoločnosti SecurityWatch, že zistilo, že najmenej päť percent už používa blokovací kód.

AV Arms Race

Digitálna bezpečnosť bola vždy o eskalácii s protiopatreniami, ktoré navždy navyšujú nové protiopatrenia. Vyhýbajúce sa karantény sa nijako nelíšia, pretože spoločnosť Kruegel LastLine sa už pokúsila hlbšie prešetriť potenciálny malware pomocou emulátora kódu a nikdy neumožnila jeho vykonanie priamo.

Kruegel povedal, že sa tiež snaží „vytlačiť“ potenciálny malware do zlého správania a pokúsiť sa prelomiť potenciálne blokujúce slučky.

Výrobcovia škodlivého softvéru sú, žiaľ, nekonečne inovatívni a zatiaľ čo iba päť percent začalo pracovať na porážaní karantén, je však isté, že existujú aj ďalšie, o ktorých nevieme. „Kedykoľvek dodávatelia prídu s novými riešeniami, útočníci sa prispôsobia a tento problém s karanténou sa nelíši, “ povedal Kruegel.

Dobrou správou je, že zatiaľ čo technologický tlak a pritiahnutie sa nemusí skončiť v dohľadnej dobe, iní sa zameriavajú na metódy, ktoré výrobcovia malware používajú na zarábanie peňazí. Možno to zasiahne zloduchov, kde ich nedokáže ochrániť ani najchytrejší programovanie: ich peňaženky.

Nudný malware sa vkráda antivírusovým sandboxom