Kaspersky Cloud Sandbox: Das Versteckspiel hat ein Ende!

13 Apr 2018

Der Kampf gegen die moderne Cyberkriminalität ist ein langwieriges Versteckspiel. Cyberkriminelle geben ihr Bestes, um neue Methoden zum Verbergen bösartiger Nutzdaten zu entwickeln. APT-Akteure sind in dieser Hinsicht besonders kreativ – sie verfügen über die notwendigen Ressourcen, um ausgeklügelte Versteckmethoden zu entwickeln. Daher ist es unsere Aufgabe, unseren Kunden die erforderlichen Instrumente zur Verfügung zu stellen, mit denen sie versteckte Bedrohungen erkennen und ihren Modus Operandi analysieren können. Eines dieser Instrumente ist unser neuer Service Kaspersky Cloud Sandbox.

Wie kann eine für Virenscanner unsichtbare Malware erkannt werden? Leider erst dann, wenn sie auf frischer Tat ertappt wird und bereits mit der Ausführung bösartiger Aktivitäten begonnen hat. Diese Methode ist allerdings besonders in Unternehmensnetzwerken unvorteilhaft (um es milde auszudrücken). Um Ihre Infrastruktur vor derartigen Experimenten zu bewahren, wurde die sogenannte Sandboxing-Methode entwickelt.

Bei dieser Methode wird ein Programm in einer streng kontrollierten, von der Hauptinfrastruktur isolierten Umgebung ausgeführt; hier kann es dann sein wahres Gesicht zeigen, ohne dabei tatsächlichen Schaden anzurichten. In einigen unserer Produkte haben wir diese Methode, die sich als recht effektiv erwiesen hat, bereits implementiert. Leider gibt es aber auch einen Haken an der ganzen Sache: Denn nicht nur wir wissen, wie die Sandboxing-Methode funktioniert, sondern auch Kriminelle wissen über die Existenz dieser Sandboxen Bescheid.

Normalerweise ergänzen APT-Akteure ihre Nutzlast mit zusätzlichen Prüfverfahren, die im Grunde genommen nur eines zum Ziel haben: herauszufinden, ob die Malware ihr Unwesen in freier Wildbahn oder unter dem Mikroskop im Labor treibt. Wenn spezifische Algorithmen vermuten, dass die Malware in einer kontrollierten Umgebung ausgeführt wurde, stoppt diese ihre bösartigen Aktivitäten bis auf Weiteres und hält sich fortan im Hintergrund.

Was können wir von unserer Seite aus in solchen Fällen tun? Wir tarnen unsere Sandbox als gewöhnliche Workstation und ahmen die täglichen Aktivitäten eines gewöhnlichen Mitarbeiters nach: den Gebrauch der Tastatur, das Scrollen durch lange Texte, der Besuch von Websites, usw. Im selben Moment protokollieren wir alles, was in unserer Sandbox passiert, ohne auf irgendeine Art und Weise einzugreifen. Dies ermöglicht eine gründliche Analyse des fraglichen Objekts und stellt ein Dossier zusammen, das darüber informiert, welche Strings im Speicher erstellt wurden, worauf in der Systemregistrierung zugegriffen wurde, welche Internetadressen geprüft wurden, usw.

Natürlich kann ein solches Instrument nicht in eine On-Premise-Sicherheitslösung integriert werden, da es nicht jeden Tag benötigt wird und seine Haltung in der Infrastruktur relativ kostspielig ist. Aus diesem Grund haben wir einen Cloud-Service für die Kunden unseres Kaspersky Threat Intelligence Portals entwickelt, der SOC-Mitarbeitern und Forensik-Analysten detaillierte Berichte zu verdächtigen Objekten zur Verfügung stellt.

Im Wesentlichen ist unser Kaspersky Threat Intelligence Portal ein Center, das alle verfügbaren Threat Intelligence-Daten in Echtzeit aggregiert. Aus diesem Grund wurde unsere Cloud-Sandbox nicht nur mit den neuesten Informationen aus dem Kaspersky Security Network (KSN), sondern auch mit den neuesten Technologien zur Verhaltensdetektion ausgestattet. So können Bedrohungen erkannt werden, selbst wenn sie sich noch nicht in freier Wildbahn befinden.

Kaspersky Cloud Sandbox ist besonders bei der Untersuchung von Cybervorfällen nützlich. Um zu verhindern, dass sich ein solcher Vorfall in einen mühsamen Kampf verwandelt, ist es nicht weniger wichtig zu verstehen, welche Ziele Cyberkriminelle verfolgen und welche Methoden sie einsetzten. Diese Informationen ermöglichen eine Verbesserung der Sicherheitssysteme bei gleichem oder ähnlichem Auftreten eines Angriffs.

Um auf unser Kaspersky Threat Intelligence Portal zuzugreifen, kontaktieren Sie bitte unsere Spezialisten auf unserer Service-Website. Um mehr über Kaspersky Cloud Sandbox zu erfahren, sollten Sie einen Blick auf die technische Beschreibung werfen.