Rumah Jam keamanan Malware yang membosankan menyelinap oleh antivirus sandboxing

Malware yang membosankan menyelinap oleh antivirus sandboxing

Video: How to Test DANGEROUS VIRUS Files in Windows 10 Sandbox (Desember 2024)

Video: How to Test DANGEROUS VIRUS Files in Windows 10 Sandbox (Desember 2024)
Anonim

Melakukan analisis dinamis dari perangkat lunak yang tidak dikenal dalam lingkungan yang terkendali - atau "kotak pasir" -adalah alat keamanan yang kuat yang digunakan para profesional untuk membasmi malware. Namun, orang-orang jahat bijaksana untuk teknik ini dan telah memperkenalkan trik-trik baru untuk keluar dari kotak pasir dan masuk ke sistem Anda.

"Analisis dinamis adalah cara yang benar, dan banyak orang melakukannya, " kata Christopher Kruegel, salah satu pendiri dan kepala ilmuwan dari perusahaan keamanan LastLine. "Tapi sungguh, itu hanya menggores permukaan." Model lama untuk solusi AV berfokus pada daftar malware yang diketahui, dan menjaga terhadap apa pun yang cocok dengan daftar itu. Masalahnya adalah bahwa metode ini tidak dapat mencegah eksploitasi nol hari atau variasi yang tak terhitung banyaknya pada malware yang ada.

Masukkan sandboxing, yang mengeksekusi perangkat lunak yang tidak dikenal dalam lingkungan yang terkontrol, seperti mesin virtual, dan melihat apakah berperilaku seperti malware. Dengan mengotomatiskan proses, perusahaan AV telah mampu memberikan perlindungan waktu nyata terhadap ancaman yang belum pernah mereka lihat sebelumnya.

Memecah Kotak Pasir

Tidak mengejutkan, orang-orang jahat telah memperkenalkan alat baru untuk mengelabui kotak pasir agar mengabaikan malware dan membiarkannya lewat. Kruegel mengutip dua cara di mana malware telah mulai melakukan ini: yang pertama adalah penggunaan pemicu lingkungan, di mana malware akan secara halus memeriksa untuk melihat apakah itu berjalan di lingkungan berpasir. Malware terkadang akan memeriksa nama hard disk, nama pengguna, jika program tertentu diinstal, atau beberapa kriteria lainnya.

Metode kedua dan yang lebih canggih yang dijelaskan Kruegel adalah malware yang benar-benar menghentikan kotak pasir. Dalam skenario ini, malware tidak perlu menjalankan pemeriksaan apa pun melainkan melakukan perhitungan yang tidak berguna sampai kotak pasir puas. Setelah kotak pasir kehabisan waktu, ia menyebarkan malware ke komputer yang sebenarnya. "Malware dieksekusi pada host nyata, melakukan loop, dan kemudian melakukan hal-hal buruk, " kata Kruegel. "Ini ancaman signifikan bagi sistem apa pun yang menggunakan analisis dinamis."

Sudah di Wild

Varian pada teknik pemecahan sandbox ini telah menemukan jalan mereka ke serangan profil tinggi. Menurut Kruegel, serangan terhadap sistem komputer Korea Selatan pekan lalu memiliki sistem yang sangat sederhana untuk menghindari deteksi. Dalam hal itu, Kruegel mengatakan bahwa malware hanya akan berjalan pada tanggal dan waktu tertentu. "Jika kotak pasir mendapatkannya pada hari berikutnya, atau sehari sebelumnya, itu tidak melakukan apa-apa, " jelasnya.

Kruegel melihat teknik serupa dalam serangan Aramco, di mana malware menjatuhkan ribuan terminal komputer di sebuah perusahaan minyak Timur Tengah. "Mereka memeriksa bahwa alamat IP adalah bagian dari wilayah itu, jika kotak pasirmu tidak ada di daerah itu, itu tidak akan dieksekusi, " kata Kruegel.

Dari malware yang LastLine amati, Kruegel mengatakan kepada SecurityWatch bahwa mereka menemukan setidaknya lima persen sudah menggunakan kode stalling.

The AV Arms Race

Keamanan digital selalu tentang eskalasi dengan tindakan balasan menghadapi serangan balik baru terus menerus. Menghindari kotak pasir tidak berbeda, karena perusahaan Kruegel, LastLine telah berusaha untuk menyelidiki malware potensial lebih dalam dengan menggunakan emulator kode dan tidak pernah membiarkan malware potensial mengeksekusi sendiri secara langsung.

Kruegel mengatakan bahwa mereka juga mencoba untuk "mendorong" potensi malware ke dalam perilaku buruk, dengan mencoba untuk memutus potensi loop yang terhenti.

Sayangnya, produsen malware terus-menerus inovatif dan sementara hanya lima persen sudah mulai bekerja untuk mengalahkan kotak pasir, itu pasti taruhan ada orang lain yang kita tidak tahu. "Setiap kali vendor keluar dengan solusi baru, penyerang beradaptasi, dan masalah kotak pasir ini tidak berbeda, " kata Kruegel.

Kabar baiknya adalah bahwa sementara dorongan dan tarikan teknologi mungkin tidak akan berakhir dalam waktu dekat, orang lain menargetkan metode yang digunakan produsen malware untuk menghasilkan uang. Mungkin ini akan menimpa orang-orang jahat di mana bahkan program cerdas tidak dapat melindungi mereka: dompet mereka

Malware yang membosankan menyelinap oleh antivirus sandboxing