{"id":24656,"date":"2020-07-28T10:32:19","date_gmt":"2020-07-28T08:32:19","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24656"},"modified":"2020-07-27T15:33:32","modified_gmt":"2020-07-27T13:33:32","slug":"research-sandbox","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/research-sandbox\/24656\/","title":{"rendered":"Sandbox f\u00fcr Experten"},"content":{"rendered":"

Die Sch\u00f6pfer von Massen-Trojanern geben sich gro\u00dfe M\u00fche, um ihren b\u00f6sartigen Code auf den Computern der Opfer auszuf\u00fchren zu k\u00f6nnen. Die Drahtzieher hinter komplexen Bedrohungen und APT-Angriffe betreiben aber auch einen gro\u00dfen Aufwand, um Mechanismen zu entwickeln, die den Schadcode nicht<\/em> ausf\u00fchren. Auf diese Weise k\u00f6nnen sie Sicherheitstechnologien, und insbesondere Sandboxen, umgehen.<\/p>\n

Sandboxen und Ausweichtechniken<\/h2>\n

Eines der grundlegenden Instrumente zur Identifizierung b\u00f6swilliger Aktivit\u00e4ten ist die so genannte Sandbox. Im Wesentlichen handelt es sich dabei um eine kontrollierte, isolierte Umgebung. Sicherheitsl\u00f6sungen k\u00f6nnen in dieser Umgebung verd\u00e4chtige Codes ausf\u00fchren und alle Aktionen analysieren, ohne dem System zu schaden. Wenn eine L\u00f6sung eine b\u00f6swillige Aktivit\u00e4t entdeckt, blockiert sie die Ausf\u00fchrung dieses Codes au\u00dferhalb der Sandbox.<\/p>\n

Diese Eind\u00e4mmungsmethode ist sehr wirksam gegen Massenbedrohungen. Sicherheitsanbieter implementieren den Sandbox-Mechanismus in der einen oder anderen Form in den meisten Sicherheitsl\u00f6sungen. Daher haben Cyberkriminelle Technologien entwickelt, deren einziger Zweck darin besteht, festzustellen, ob die Malware in einer kontrollierten Umgebung oder im eigentlichen Betriebssystem der Arbeitsstation ausgef\u00fchrt wird. Die einfachsten Methoden beinhalten den Versuch, auf einen externen Server zuzugreifen (der durch regul\u00e4re Sandboxen blockiert wird) oder Systemparameter zu \u00fcberpr\u00fcfen. Wenn etwas nicht in Ordnung ist, zerst\u00f6rt sich die Malware in der Regel selbst, hinterl\u00e4sst keine Spuren des Angriffs und erschwert so die Arbeit der Forscher. Fortgeschrittenere Bedrohungen pr\u00fcfen auch, ob ein echter Benutzer im System vorhanden ist und es nutzt. Wenn der Code ohne jede Spur echter menschlicher Aktivit\u00e4t ausgef\u00fchrt wird, wird er m\u00f6glicherweise in einer Sandbox ausgef\u00fchrt.<\/p>\n

Nat\u00fcrlich haben wir darauf reagiert, indem wir unsere Technologien zur Erkennung und Bek\u00e4mpfung von Ausweichman\u00f6vern verbessert haben. Unsere Infrastruktur umfasst insbesondere eine leistungsf\u00e4hige Sandbox, die mit Mechanismen ausgestattet ist, die in der Lage sind, verschiedene Umgebungen und Kasperskys gesamtes gesammeltes Wissen \u00fcber alle Arten m\u00f6glicher b\u00f6sartiger Aktivit\u00e4ten zu emulieren. Forscher k\u00f6nnen einen Teil der Sandbox-Funktionalit\u00e4t \u00fcber unsere Kaspersky Cloud Sandbox-L\u00f6sung aus der Ferne nutzen.<\/p>\n

Aber die Verwendung einer Remote-Sandbox ist nicht immer eine L\u00f6sung f\u00fcr gro\u00dfe Unternehmen, die \u00fcber eigene Sicherheitsbetriebszentren verf\u00fcgen. Erstens verbieten viele interne und externe Vorschriften die \u00dcbertragung von Informationen auf Server Dritter. Dazu geh\u00f6rten auch verd\u00e4chtige Codes. Zweitens kann Malware, die auf Angriffe auf spezifische Unternehmen zugeschnitten ist, die Eigenschaften pr\u00fcfen, die f\u00fcr eine bestimmte Infrastruktur spezifisch sind (zum Beispiel das Vorhandensein hochspezialisierter Software). Daher kann unsere L\u00f6sung, Kaspersky Research Sandbox, innerhalb der Unternehmensinfrastruktur eingesetzt werden.<\/p>\n

Kaspersky Research Sandbox Hauptfunktionen<\/h2>\n

Kaspersky Research Sandbox \u00fcbertr\u00e4gt nichts von der Infrastruktur. Sofern es wenn n\u00f6tig ist, kann es \u00fcber das Kaspersky Private Security Network arbeiten, das im Daten-Dioden-Modus arbeitet. Der Hauptvorteil besteht jedoch darin, dass es Forschern erm\u00f6glicht, ihre eigene Emulationsumgebung aufzubauen. Das bedeutet, dass sie eine exakte isolierte Kopie einer typischen Arbeitsstation erstellen k\u00f6nnen, die die Mitarbeiter in ihrer Firma mit allen spezifischen Software- und Netzwerkeinstellungen verwenden, und das Verhalten verd\u00e4chtiger Objekte auf dieser Kopie untersuchen k\u00f6nnen.<\/p>\n

Dar\u00fcber hinaus verwendet die Kaspersky Research Sandbox Technologie nicht nur fortschrittliche Verhaltensanalyse-Tools, um alles zu verfolgen, was in dieser isolierten Umgebung geschieht, sondern es ahmt auch menschliche Aktivit\u00e4ten im System nach. Daher erm\u00f6glicht unsere Sandbox die kontrollierte Ausf\u00fchrung, Analyse und Erkennung von APT-Bedrohungen, auch wenn diese speziell auf Ihre Infrastruktur zugeschnitten sind.<\/p>\n

Die L\u00f6sung kann Rechner mit Microsoft Windows oder Android emulieren. Mehr \u00fcber Kaspersky Research Sandbox erfahren Sie auf offiziellen Produktseite<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Wir haben eine Sandbox entwickelt, die in der Lage ist, ein unternehmensspezifisches System in einer isolierten Umgebung zu emulieren.<\/p>\n","protected":false},"author":2581,"featured_media":24793,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107],"tags":[522,1652,2953],"class_list":{"0":"post-24656","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-products","11":"tag-sandbox"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/research-sandbox\/24656\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/research-sandbox\/21537\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/research-sandbox\/17003\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/research-sandbox\/22762\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/research-sandbox\/20853\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/research-sandbox\/30150\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/research-sandbox\/36258\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/research-sandbox\/13668\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/research-sandbox\/11688\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/research-sandbox\/23590\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/research-sandbox\/27819\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/research-sandbox\/27661\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/sandbox\/","name":"Sandbox"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24656","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=24656"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24656\/revisions"}],"predecessor-version":[{"id":24792,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24656\/revisions\/24792"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/24793"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=24656"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=24656"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=24656"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}