Vídeo: How To Setup A Sandbox Environment For Malware Analysis (Outubro 2024)
A análise dinâmica de software desconhecido em um ambiente controlado - ou "sandboxing" - é uma ferramenta poderosa que os profissionais de segurança usam para eliminar malware. No entanto, os bandidos são sábios em relação à técnica e têm introduzido novos truques para sair da caixa de areia e entrar no seu sistema.
"A análise dinâmica é o caminho certo, e muitas pessoas fazem isso", disse Christopher Kruegel, co-fundador e cientista-chefe da empresa de segurança LastLine. "Mas, na verdade, isso está apenas arranhando a superfície". O modelo antigo de soluções de antivírus focava em listas de malware conhecido e era protegido contra qualquer coisa que correspondesse a essa lista. O problema é que esse método não pode se proteger contra explorações de dia zero ou as inúmeras variações de malware existente.
Digite sandboxing, que executa software desconhecido em um ambiente controlado, como uma máquina virtual, e observe se ele se comporta como malware. Ao automatizar o processo, as empresas de antivírus puderam fornecer proteção em tempo real contra ameaças que nunca haviam visto antes.
Quebrando a caixa de areia
Sem surpresa, os bandidos introduziram novas ferramentas para enganar as caixas de areia a ignorar o malware e deixá-lo passar. Kruegel citou duas maneiras pelas quais o malware começou a fazer isso: a primeira é o uso de gatilhos ambientais, nos quais o malware verifica sutilmente se está sendo executado em um ambiente em área restrita. Às vezes, o malware verifica o nome do disco rígido, o nome do usuário, se determinados programas estão instalados ou algum outro critério.
O segundo e mais sofisticado método que Kruegel descreveu foi um malware que realmente impede a caixa de areia. Nesse cenário, o malware não precisa executar nenhuma verificação, mas faz cálculos inúteis até que a sandbox seja satisfeita. Após o tempo limite da sandbox, ele passa o malware para o computador real. "O malware é executado no host real, faz seu loop e depois faz coisas ruins", disse Kruegel. "É uma ameaça significativa para qualquer sistema que use uma análise dinâmica".
Já em estado selvagem
As variantes dessas técnicas de quebra de sandbox já chegaram a ataques de alto perfil. Segundo Kruegel, o ataque aos sistemas de computadores sul-coreanos na semana passada teve um sistema muito simples para evitar a detecção. Nesse caso, Kruegel disse que o malware seria executado apenas em uma data e hora específica. "Se a caixa de areia pega no dia seguinte ou no dia anterior, não faz nada", explicou.
Kruegel viu uma técnica semelhante no ataque de Aramco, onde o malware derrubou milhares de terminais de computadores em uma empresa de petróleo do Oriente Médio. "Eles estavam verificando se os endereços IP faziam parte dessa região; se a sua caixa de areia não estiver nessa área, ela não funcionaria", disse Kruegel.
Do malware que LastLine observou, Kruegel disse ao SecurityWatch que eles descobriram que pelo menos cinco por cento já estavam usando código de bloqueio.
A corrida armamentista AV
A segurança digital sempre esteve relacionada à escalada, com as contra-medidas atendendo a novos contra-ataques para sempre. Evitar sandboxes não é diferente, pois a empresa de Kruegel, LastLine, já procurou investigar malwares em potencial mais profundamente usando um emulador de código e nunca permitindo que malwares em potencial se executem diretamente.
Kruegel disse que eles também tentam "empurrar" malwares em potencial para um mau comportamento, tentando quebrar possíveis loops.
Infelizmente, os produtores de malware são infinitamente inovadores e, embora apenas cinco por cento tenham começado a trabalhar para vencer as caixas de areia, é uma aposta certa que existem outras que desconhecemos. "Sempre que os fornecedores lançam novas soluções, os atacantes se adaptam e esse problema de sandbox não é diferente", disse Kruegel.
A boa notícia é que, embora o empurrão e a retirada tecnológica possam não terminar tão cedo, outras pessoas terão como alvo os métodos que os produtores de malware usam para ganhar dinheiro. Talvez isso atinja os bandidos, onde nem a programação mais inteligente pode protegê-los: suas carteiras.
