Video: Come testare i file pericolosi in Windows 10 Sandbox (Settembre 2024)
L'esecuzione di analisi dinamiche di software sconosciuto in un ambiente controllato (o "sandboxing") è un potente strumento utilizzato dai professionisti della sicurezza per eliminare il malware. Tuttavia, i cattivi sono saggi della tecnica e hanno introdotto nuovi trucchi per uscire dalla sandbox e nel tuo sistema.
"L'analisi dinamica è la strada giusta e molte persone lo fanno", ha dichiarato Christopher Kruegel, co-fondatore e capo scienziato della società di sicurezza LastLine. "Ma davvero, questo è solo graffiare la superficie." Il vecchio modello per le soluzioni AV si concentrava su elenchi di malware noti e proteggeva tutto ciò che corrispondeva a tale elenco. Il problema è che questo metodo non può proteggersi dagli exploit zero-day o dalle innumerevoli variazioni del malware esistente.
Inserisci sandboxing, che esegue software sconosciuto in un ambiente controllato, come una macchina virtuale, e osserva se si comporta come malware. Automatizzando il processo, le aziende AV sono state in grado di fornire una protezione in tempo reale contro le minacce che non avevano mai visto prima.
Rompere la sandbox
Non sorprende che i cattivi abbiano introdotto nuovi strumenti per ingannare i sandbox nell'ignorare il malware e lasciarlo passare. Kruegel ha citato due modi in cui il malware ha iniziato a fare questo: il primo è l'uso di trigger ambientali, in cui il malware controllerà sottilmente per vedere se è in esecuzione in un ambiente sandbox. Il malware a volte controlla il nome del disco rigido, il nome dell'utente, se sono installati determinati programmi o altri criteri.
Il secondo e più sofisticato metodo descritto da Kruegel era il malware che blocca la sandbox. In questo scenario, il malware non deve eseguire alcun controllo, ma esegue calcoli inutili fino a quando la sandbox non è soddisfatta. Una volta scaduto il tempo, il sandbox passa il malware al computer reale. "Il malware viene eseguito sul vero host, fa il suo ciclo e quindi fa cose cattive", ha detto Kruegel. "È una minaccia significativa per qualsiasi sistema che utilizza un'analisi dinamica."
Già nel selvaggio
Le varianti di queste tecniche di sandbox hanno già trovato la loro strada in attacchi di alto profilo. Secondo Kruegel, l'attacco ai sistemi informatici della Corea del Sud la scorsa settimana ha avuto un sistema molto semplice per evitare il rilevamento. In tal caso, Kruegel ha affermato che il malware verrà eseguito solo in una data e ora particolari. "Se il sandbox lo riceve il giorno successivo o il giorno prima, non fa nulla", ha spiegato.
Kruegel ha visto una tecnica simile nell'attacco di Aramco, in cui il malware ha fatto cadere migliaia di terminali di computer in una compagnia petrolifera del Medio Oriente. "Stavano verificando che gli indirizzi IP facessero parte di quella regione, se il tuo sandbox non si trovasse in quella zona, non sarebbe stato eseguito", ha affermato Kruegel.
Tra i malware rilevati da LastLine, Kruegel ha dichiarato a SecurityWatch di aver scoperto che almeno il cinque percento utilizzava già il codice di stallo.
La corsa agli armamenti AV
La sicurezza digitale ha sempre riguardato l'escalation con contromisure che soddisfano i nuovi contrattacchi sempre in piedi. Evadere i sandbox non è diverso, poiché la società di Kruegel LastLine ha già cercato di indagare più a fondo sul potenziale malware utilizzando un emulatore di codice e non consentendo mai al potenziale malware di eseguirsi direttamente.
Kruegel ha affermato di provare anche a "spingere" potenziali malware in cattivi comportamenti, tentando di rompere potenziali loop di stallo.
Sfortunatamente, i produttori di malware sono infinitamente innovativi e mentre solo il cinque percento ha iniziato a lavorare per battere i sandbox, è certo che ce ne sono altri che non conosciamo. "Ogni volta che i fornitori escono con nuove soluzioni, gli aggressori si adattano e questo problema sandbox non è diverso", ha dichiarato Kruegel.
La buona notizia è che mentre il push and pull tecnologico potrebbe non finire in qualunque momento presto altri stanno prendendo di mira i metodi che i produttori di malware usano per fare soldi. Forse questo colpirà i cattivi in cui nemmeno la programmazione più intelligente non può proteggerli: i loro portafogli.
