12 augustus 2013 -
Malware wordt steeds geavanceerder. Door het toenemende vermogen om meerdere vormen aan te nemen, is malware in staat zich te verbergen of te vermenigvuldigen en de beveiliging van de host uit te schakelen. Een nieuw rapport van FireEye beschrijft de technieken die ontwikkelaars van malware gebruiken bij het omzeilen van file-based sandboxes.
Malware detectie
Deze technieken behoren meestal tot één of meerdere van de volgende categorieën:
• Menselijke interactie: de malware is wel aanwezig, maar wordt pas actief zodra het menselijke interactie detecteert. Een goed voorbeeld is de in 2012 door FireEye ontdekte UpClicker Trojan: deze vorm van malware gebruikt muisklikken voor het detecteren van menselijke activiteit. Na één klik op de linkermuisknop communiceert deze malware met kwaadaardige CnC-servers.
• Configuratie: sandboxes imiteren de computer die ze beschermen, maar zijn nog steeds geconfigureerd naar een aantal vastgestelde parameters. De meeste sandboxes houden een bestand voor slechts enkele minuten in de gaten voordat ze doorgaan naar het volgende bestand. Cybercriminelen wachten buiten de sandbox en vallen aan zodra het monitoringsproces van het betreffende bestand is voltooid.
• Omgeving: malware probeert vaak gebruik te maken van een fout in het systeem, een fout die meestal alleen aanwezig is in bepaalde versies van applicaties. Als een vooraf gedefinieerde configuratie binnen een sandbox een bepaalde combinatie van een besturingssysteem of applicatie mist, reageert de malware niet en ontwijkt het daarmee detectie.
• Klassieke VMware ontduikingstechnieken: VMware is een populaire virtualisatietool en bijzonder eenvoudig te herkennen aan de karakteristieke configuratie. Ontwikkelaars van malware maken hier dankbaar gebruik van. Voorbeeld: door de kenmerkende configuratie van VMware kan malware verschillende VMware-diensten bekijken voordat het overgaat tot actie.
Effectieve detectie
"In het huidige cybercrime-landschap bieden traditionele sandboxes niet langer beveiliging tegen geavanceerde aanvallers," zegt Zheng Bu, senior director research en co-auteur van het rapport. "Malware is steeds beter in het detecteren van het verschil tussen een echte en virtuele omgeving en past hier vervolgens het gedrag op aan om detectie te voorkomen. Effectieve detectie is daarom noodzakelijk. Dit kan met behulp van een multi-flow-analyse: een analyse van de context van het gedrag en de samenhangende ongelijksoortige fases van een aanval. Deze methode is gedurende het onderzoek ook gebruikt."
Het begrijpen van de technieken die malware-ontwikkelaars gebruiken om beveiligingssystemen zoals file-based sandboxes te ontwijken, biedt een security professional de mogelijkheid om een potentiële Advanced Persistent Threat (APT) aanval beter en sneller te identificeren.