Проведення динамічного аналізу невідомого програмного забезпечення в контрольованому середовищі - або "пісочниці" - це потужний інструмент безпеки, який використовують для відмивання шкідливих програм. Однак погані хлопці мудрі в техніці і впроваджують нові хитрощі, щоб вирватися з пісочниці та у вашу систему.
"Динамічний аналіз - це правильний шлях, і багато людей роблять це", - сказав Крістофер Крюгель, співзасновник і головний вчений охоронної компанії LastLine. "Але насправді, це просто подряпини на поверхні". Стара модель для AV-рішень орієнтувалася на списки відомих шкідливих програм і захищала від усього, що відповідає цьому списку. Проблема полягає в тому, що цей метод не може захистити від нульових щоденних подвигів або незліченних варіацій існуючих зловмисних програм.
Введіть пісочницю, яка виконує невідоме програмне забезпечення в контрольованому середовищі, як віртуальна машина, і спостерігає, чи веде він себе як зловмисне програмне забезпечення. Автоматизуючи процес, компанії AV змогли забезпечити захист у реальному часі від загроз, яких вони ніколи не бачили.
Розбивання пісочниці
Не дивно, що погані хлопці запровадили нові інструменти, щоб виманити пісочниці з ігнорування зловмисного програмного забезпечення та пропуску. Kruegel цитував два способи, як це почало робити зловмисне програмне забезпечення: перший - це використання екологічних тригерів, де зловмисне програмне забезпечення буде тонко перевіряти, чи працює він у пісочному середовищі. Зловмисне програмне забезпечення іноді перевірятиме ім'я жорсткого диска, ім'я користувача, якщо встановлені певні програми, або якісь інші критерії.
Другим і більш досконалим способом, описаним Крюгелем, було зловмисне програмне забезпечення, яке фактично гасить пісочницю. У цьому випадку шкідливому ПЗ не потрібно запускати будь-які перевірки, а натомість виконувати марні обчислення, поки не буде задоволено пісочницю. Після вичерпання часу пісочниця передає зловмисне програмне забезпечення на власний комп'ютер. "Зловмисне програмне забезпечення виконує справжній хост, робить цикл, а потім робить погані речі", - сказав Крюгель. "Це значна загроза для будь-якої системи, яка використовує динамічний аналіз."
Вже в дикій природі
Варіанти цих методів розбивання пісочниці вже знайшли шлях до гучних атак. За словами Крюгеля, напад на південнокорейські комп'ютерні системи минулого тижня мав дуже просту систему, щоб уникнути виявлення. У такому випадку Крюгель заявив, що зловмисне програмне забезпечення запускатиметься лише в певну дату та час. "Якщо пісочниця отримує її на наступний день або напередодні, вона нічого не робить", - пояснив він.
Крігель побачив подібну техніку в атаці на Арамко, коли зловмисне програмне забезпечення збило тисячі комп'ютерних терміналів на близькосхідній нафтовій компанії. "Вони перевіряли, що IP-адреси є частиною цього регіону. Якщо ваша пісочниця не знаходиться в цьому районі, вона не виконується", - сказав Крюгель.
Про зловмисне програмне забезпечення, яке зафіксував LastLine, Крюгель повідомив SecurityWatch, що вони виявили, що принаймні п’ять відсотків уже використовували код затримки.
Гонка AV Arms
Цифрова безпека завжди була спрямована на ескалацію за допомогою контрзаходів, що зустрічаються з новими контратаками і назавжди. Ухилення від пісочниць не відрізняється, тому що компанія Kruegel LastLine вже намагалася дослідити потенційну шкідливу програму глибше, використовуючи емулятор коду і ніколи не дозволяючи потенційному зловмисному програмному виконанню безпосередньо безпосередньо.
Крюгель зазначив, що вони також намагаються "підштовхнути" потенційну шкідливу програму до поганої поведінки, намагаючись зламати потенційні петлі відкладання.
На жаль, виробники зловмисних програм нескінченно інноваційні, і хоча лише п’ять відсотків почали працювати над тим, щоб перемогти пісочниці, це впевнено, що є й інші, про які ми не знаємо. "Щоразу, коли продавці виходять з новими рішеннями, зловмисники адаптуються, і ця проблема пісочниці не відрізняється", - сказав Крюгель.
Хороша новина полягає в тому, що, хоча технологічне натискання може не закінчитися в будь-який час незабаром, інші націлюються на методи, які виробники зловмисних програм використовують для заробітку. Можливо, це вразить поганих хлопців, де навіть найрозумніше програмування не може захистити їх: їхні гаманці.
