{"id":30193,"date":"2023-06-02T11:23:12","date_gmt":"2023-06-02T09:23:12","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30193"},"modified":"2023-06-02T11:23:12","modified_gmt":"2023-06-02T09:23:12","slug":"sandbox-working-environment","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/sandbox-working-environment\/30193\/","title":{"rendered":"Verbesserung einer Sandbox"},"content":{"rendered":"<p>Sandboxen sind eines der effektivsten Tools, die es f\u00fcr die Analyse verd\u00e4chtiger Objekte und die Erkennung b\u00f6sartiger Verhaltensmuster gibt. Unterschiedliche Implementierungen dieser Technologie werden in einer breiten Palette von Sicherheitsl\u00f6sungen eingesetzt. Allerdings h\u00e4ngt die Genauigkeit der Bedrohungserkennung direkt von der Art und Weise ab, wie die Sandbox die Umgebung emuliert, in der verd\u00e4chtige Objekte ausgef\u00fchrt werden.<\/p>\n<h2>Was ist eine Sandbox und wie funktioniert sie?<\/h2>\n<p>Eine Sandbox ist ein Tool, das eine isolierte Umgebung kreiert, in der das Verhalten verd\u00e4chtiger Prozesse analysiert werden kann. In der Regel erfolgt dies in einer virtuellen Maschine oder einem Container, was es dem Forscher erm\u00f6glicht, potenziell sch\u00e4dliche Objekte zu untersuchen, ohne zu riskieren, eine echte Arbeitsumgebung zu infizieren oder zu besch\u00e4digen oder wichtige Unternehmensdaten zu enth\u00fcllen.<\/p>\n<p>Die Sandbox der Kaspersky Anti Targeted Attack (KATA)-Plattform funktioniert folgenderma\u00dfen: Wenn eine Komponente der Sicherheitsl\u00f6sung ein gef\u00e4hrliches oder verd\u00e4chtiges Objekt (z. B. eine Datei oder eine URL) erkennt, wird dieses samt den Details der Arbeitsumgebung (Betriebssystemversion, Liste der installierten Programme, Systemeinstellungen usw.) zur Inspektion an die Sandbox gesendet. In der Sandbox wird das Objekt ausgef\u00fchrt oder zur URL navigiert, wobei alle Artefakte aufgezeichnet werden:<\/p>\n<ul>\n<li>Ausf\u00fchrungsprotokolle, darunter System-API-Aufrufe, Datei-Operationen, Netzwerkaktivit\u00e4ten, URLs und Prozesse, auf die das Objekt zugreift;<\/li>\n<li>System- und Speicher-Snapshots (Speicherabz\u00fcge oder auch Dumps);<\/li>\n<li>Erstellte (entpackte oder heruntergeladene) Objekte;<\/li>\n<li>Netzwerkverkehr.<\/li>\n<\/ul>\n<p>Nach Beendigung des Testszenarios werden die gesammelten Artefakte analysiert und auf Spuren sch\u00e4dlicher Aktivit\u00e4ten gescannt. Werden entsprechende Hinweise gefunden, wird das Objekt als b\u00f6sartig markiert, und die identifizierten Techniken, Taktiken und Verfahren werden in die <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/mitre-attack\/\" target=\"_blank\" rel=\"noopener\">MITRE ATT&amp;CK<\/a>-Matrix eingetragen. Alle ermittelten Daten werden gespeichert und stehen f\u00fcr weitere Analysen zur Verf\u00fcgung.<\/p>\n<h2>Herausforderungen f\u00fcr Sandboxen<\/h2>\n<p>Das gr\u00f6\u00dfte Problem von Sandboxen ist, dass Cyberkriminelle \u00fcber sie Bescheid wissen und ihre Methoden zur Umgehung st\u00e4ndig weiterentwickeln. Um den Sandbox-Schutz zu umgehen, entwickeln Angreifer vor allem Technologien zur Erkennung bestimmter Merkmale virtueller Umgebungen. Hierzu suchen sie nach charakteristischen Artefakten oder Zust\u00e4nden der Sandbox oder nach einem unnat\u00fcrlichen Verhalten des virtuellen Benutzers. Wenn solche Anzeichen erkannt (oder auch nur vermutet) werden, passt das Schadprogramm sein Verhalten an oder zerst\u00f6rt sich selbst.<\/p>\n<p>Bei Malware, die f\u00fcr zielgerichtete Angriffe eingesetzt wird, untersuchen die Cyberkriminellen akribisch die Konfiguration des Betriebssystems und die auf dem Zielcomputer verwendeten Programme. Nur wenn die Software und das System vollst\u00e4ndig den Erwartungen der Angreifer entsprechen, werden sch\u00e4dliche Aktivit\u00e4ten ausgef\u00fchrt. Die Malware kann in genau festgelegten Zeitintervallen arbeiten oder nach einer bestimmten Benutzeraktion aktiviert werden.<\/p>\n<h2>So l\u00e4sst sich eine k\u00fcnstliche Umgebung realer gestalten<\/h2>\n<p>Um eine potenzielle Bedrohung in einer sicheren Umgebung zum Ausf\u00fchren zu bewegen, werden kombinierte Ans\u00e4tze angewandt:<\/p>\n<ul>\n<li>Variable und zuf\u00e4llige virtuelle Umgebungen: Erstellung mehrerer Sandboxen mit unterschiedlichen Einstellungs- und Softwarekombinationen<\/li>\n<li>Realistische Simulation des Nutzerverhaltens, einschlie\u00dflich der Eingabegeschwindigkeit von Passw\u00f6rtern, der Anzeige von Text, der Bewegung des Cursors und des Mausklicks<\/li>\n<li>Einsatz eines separaten physischen (nicht virtuellen) Rechners, der vom Arbeitsumfeld isoliert ist, um verd\u00e4chtige Objekte im Zusammenhang mit Hardware-Angriffen und Ger\u00e4tetreibern zu analysieren<\/li>\n<li>Kombination aus statischer und dynamischer Analyse; Monitoring des Systemverhaltens in regelm\u00e4\u00dfigen Abst\u00e4nden; Anwendung von Technologien zur Zeitbeschleunigung (<em>Time Acceleration<\/em>) auf virtuellen Maschinen<\/li>\n<li>Einsatz von Abbildern realer Workstations aus der Zielumgebung, einschlie\u00dflich des Betriebssystems und der Konfiguration von Programmen, Plug-ins und Sicherheitseinstellungen<\/li>\n<\/ul>\n<p>Unsere <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/wiki-section\/products\/sandbox\" target=\"_blank\" rel=\"noopener nofollow\">Sandbox<\/a> implementiert jede dieser Techniken: Sie kann das Verhalten eines echten Nutzers emulieren, zuf\u00e4llige Umgebungen bereitstellen und im manuellen oder automatischen Modus arbeiten. Vor kurzem haben wir zudem unsere erweiterte Detection- &amp; Response-L\u00f6sung \u2013 Kaspersky Anti Targeted Attack Platform \u2013 aktualisiert. Mit der integrierten Sandbox k\u00f6nnen Sie nun benutzerdefinierte Systemabbilder mit einem Betriebssystem Ihrer Wahl (aus der Liste der kompatiblen Betriebssysteme) verwenden und Programme von Drittanbietern installieren. Weitere Informationen \u00fcber die Plattform finden Sie auf der dedizierten <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/anti-targeted-attack-platform?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">KATA-Seite<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Effektivit\u00e4t einer Sandbox h\u00e4ngt gr\u00f6\u00dftenteils von ihrer F\u00e4higkeit ab, eine Arbeitsumgebung realistisch zu simulieren. <\/p>\n","protected":false},"author":2725,"featured_media":30194,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,2287],"tags":[274,2953,4070,1653,645,2951],"class_list":{"0":"post-30193","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-technology","10":"tag-bedrohungen","11":"tag-sandbox","12":"tag-sandboxing","13":"tag-security","14":"tag-technologie","15":"tag-threat-intelligence"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sandbox-working-environment\/30193\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sandbox-working-environment\/25704\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sandbox-working-environment\/21124\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sandbox-working-environment\/28392\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sandbox-working-environment\/26003\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sandbox-working-environment\/26384\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sandbox-working-environment\/28871\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sandbox-working-environment\/35580\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sandbox-working-environment\/48272\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sandbox-working-environment\/20665\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sandbox-working-environment\/21351\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sandbox-working-environment\/26426\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sandbox-working-environment\/32014\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sandbox-working-environment\/31700\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/threat-intelligence\/","name":"Threat Intelligence"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30193","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2725"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=30193"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30193\/revisions"}],"predecessor-version":[{"id":30197,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30193\/revisions\/30197"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/30194"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=30193"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=30193"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=30193"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}