Sandbox für Experten

Wir haben eine Sandbox entwickelt, die in der Lage ist, ein unternehmensspezifisches System in einer isolierten Umgebung zu emulieren.

Die Schöpfer von Massen-Trojanern geben sich große Mühe, um ihren bösartigen Code auf den Computern der Opfer auszuführen zu können. Die Drahtzieher hinter komplexen Bedrohungen und APT-Angriffe betreiben aber auch einen großen Aufwand, um Mechanismen zu entwickeln, die den Schadcode nicht ausführen. Auf diese Weise können sie Sicherheitstechnologien, und insbesondere Sandboxen, umgehen.

Sandboxen und Ausweichtechniken

Eines der grundlegenden Instrumente zur Identifizierung böswilliger Aktivitäten ist die so genannte Sandbox. Im Wesentlichen handelt es sich dabei um eine kontrollierte, isolierte Umgebung. Sicherheitslösungen können in dieser Umgebung verdächtige Codes ausführen und alle Aktionen analysieren, ohne dem System zu schaden. Wenn eine Lösung eine böswillige Aktivität entdeckt, blockiert sie die Ausführung dieses Codes außerhalb der Sandbox.

Diese Eindämmungsmethode ist sehr wirksam gegen Massenbedrohungen. Sicherheitsanbieter implementieren den Sandbox-Mechanismus in der einen oder anderen Form in den meisten Sicherheitslösungen. Daher haben Cyberkriminelle Technologien entwickelt, deren einziger Zweck darin besteht, festzustellen, ob die Malware in einer kontrollierten Umgebung oder im eigentlichen Betriebssystem der Arbeitsstation ausgeführt wird. Die einfachsten Methoden beinhalten den Versuch, auf einen externen Server zuzugreifen (der durch reguläre Sandboxen blockiert wird) oder Systemparameter zu überprüfen. Wenn etwas nicht in Ordnung ist, zerstört sich die Malware in der Regel selbst, hinterlässt keine Spuren des Angriffs und erschwert so die Arbeit der Forscher. Fortgeschrittenere Bedrohungen prüfen auch, ob ein echter Benutzer im System vorhanden ist und es nutzt. Wenn der Code ohne jede Spur echter menschlicher Aktivität ausgeführt wird, wird er möglicherweise in einer Sandbox ausgeführt.

Natürlich haben wir darauf reagiert, indem wir unsere Technologien zur Erkennung und Bekämpfung von Ausweichmanövern verbessert haben. Unsere Infrastruktur umfasst insbesondere eine leistungsfähige Sandbox, die mit Mechanismen ausgestattet ist, die in der Lage sind, verschiedene Umgebungen und Kasperskys gesamtes gesammeltes Wissen über alle Arten möglicher bösartiger Aktivitäten zu emulieren. Forscher können einen Teil der Sandbox-Funktionalität über unsere Kaspersky Cloud Sandbox-Lösung aus der Ferne nutzen.

Aber die Verwendung einer Remote-Sandbox ist nicht immer eine Lösung für große Unternehmen, die über eigene Sicherheitsbetriebszentren verfügen. Erstens verbieten viele interne und externe Vorschriften die Übertragung von Informationen auf Server Dritter. Dazu gehörten auch verdächtige Codes. Zweitens kann Malware, die auf Angriffe auf spezifische Unternehmen zugeschnitten ist, die Eigenschaften prüfen, die für eine bestimmte Infrastruktur spezifisch sind (zum Beispiel das Vorhandensein hochspezialisierter Software). Daher kann unsere Lösung, Kaspersky Research Sandbox, innerhalb der Unternehmensinfrastruktur eingesetzt werden.

Kaspersky Research Sandbox Hauptfunktionen

Kaspersky Research Sandbox überträgt nichts von der Infrastruktur. Sofern es wenn nötig ist, kann es über das Kaspersky Private Security Network arbeiten, das im Daten-Dioden-Modus arbeitet. Der Hauptvorteil besteht jedoch darin, dass es Forschern ermöglicht, ihre eigene Emulationsumgebung aufzubauen. Das bedeutet, dass sie eine exakte isolierte Kopie einer typischen Arbeitsstation erstellen können, die die Mitarbeiter in ihrer Firma mit allen spezifischen Software- und Netzwerkeinstellungen verwenden, und das Verhalten verdächtiger Objekte auf dieser Kopie untersuchen können.

Darüber hinaus verwendet die Kaspersky Research Sandbox Technologie nicht nur fortschrittliche Verhaltensanalyse-Tools, um alles zu verfolgen, was in dieser isolierten Umgebung geschieht, sondern es ahmt auch menschliche Aktivitäten im System nach. Daher ermöglicht unsere Sandbox die kontrollierte Ausführung, Analyse und Erkennung von APT-Bedrohungen, auch wenn diese speziell auf Ihre Infrastruktur zugeschnitten sind.

Die Lösung kann Rechner mit Microsoft Windows oder Android emulieren. Mehr über Kaspersky Research Sandbox erfahren Sie auf offiziellen Produktseite.

Tipps