Casa Vigilant de seguretat L’avorriment del programari maliciós es pot fer amb sandboxing antivirus

L’avorriment del programari maliciós es pot fer amb sandboxing antivirus

Vídeo: Tutorials de la Nenúfar i la Matoll per cuidar en Biri Biri - La família del Super3 (De novembre 2024)

Vídeo: Tutorials de la Nenúfar i la Matoll per cuidar en Biri Biri - La família del Super3 (De novembre 2024)
Anonim

Realitzant anàlisis dinàmiques de programari desconegut en un entorn controlat -o “sandboxing” - és una potent eina que utilitzen els professionals de la seguretat per eliminar programari maliciós. Tot i això, els dolents són savis amb la tècnica i han estat introduint nous trucs per sortir de la caixa de sorra i al vostre sistema.

"L'anàlisi dinàmica és la manera correcta i molta gent ho fa", va dir Christopher Kruegel, cofundador i científic principal de l'empresa de seguretat LastLine. "Però realment, això simplement es rasca la superfície". L'antic model de solucions AV es va centrar en llistes de programari maliciós conegut i va protegir-se de qualsevol cosa que coincidís amb aquesta llista. El problema és que aquest mètode no pot protegir-se de les explotacions d'un dia zero ni de les innombrables variacions del programari maliciós existent.

Introduïu sandboxing, que executa programari desconegut en un entorn controlat, com una màquina virtual, i mira si es comporta com a programari maliciós. Automatitzant el procés, les empreses AV han pogut proporcionar la protecció en temps real contra les amenaces que mai havien vist abans.

Trencar la caixa de sorra

No és sorprenent, els dolents han introduït noves eines per enganyar les caixes de sorra a ignorar el malware i deixar-ho passar. Kruegel va citar dues maneres en què el programari maliciós ha començat a fer-ho: el primer és l’ús de desencadenants ambientals, on el programari maliciós comprovarà subtilment per veure si funciona en un entorn amb caixa de sorra. El programari maliciós comprovarà de vegades el nom del disc dur, el nom de l’usuari, si hi ha instal·lats determinats programes o alguns altres criteris.

El segon i més sofisticat mètode que va descriure Kruegel va ser el programari maliciós que realment no destaca la caixa de sorra. En aquest cas, el programari maliciós no necessita fer cap comprovació, sinó que fa càlculs inútils fins que la caixa de sorra es satisfà. Una vegada que el sandbox s'ha esgotat, passa el programari maliciós a l'ordinador real. "El programari maliciós s'executa a l'amfitrió real, fa el seu bucle i, a continuació, fa coses dolentes", va dir Kruegel. "És una amenaça significativa per a qualsevol sistema que utilitzi una anàlisi dinàmica".

Ja en estat salvatge

Les variants d’aquestes tècniques de trencament de la caixa de sorra ja han trobat el seu camí en atacs d’alt perfil. Segons Kruegel, l’atac als sistemes informàtics sud-coreans de la setmana passada tenia un sistema molt senzill per evitar la detecció. En aquest cas, Kruegel va dir que el programari maliciós només funcionaria en una data i hora determinades. "Si la caixa de sorra ho aconsegueix l'endemà, o el dia abans, no fa res", va explicar.

Kruegel va veure una tècnica similar a l'atac d'Aramco, on el programari maliciós va enderrocar milers de terminals d'ordinadors a una empresa petroliera de l'Orient Mitjà. "Estan comprovant que les adreces IP formessin part d'aquesta regió. Si la caixa de sorra no es troba a la zona, no s'executaria", va dir Kruegel.

Del programari maliciós que LastLine ha observat, Kruegel va dir a SecurityWatch que van trobar que almenys un cinc per cent ja utilitzaven codi de detenció.

L’AV Arms Race

La seguretat digital sempre ha tingut lloc en una escalada amb les mesures contrariades per aconseguir nous contraatacs per sempre. Eliminar les caixes de sorra no és diferent, ja que la companyia de Kruegel LastLine ja ha intentat investigar el programari maliciós en profunditat aprofitant un emulador de codi i mai no ha permès executar-se directament programari maliciós.

Kruegel va dir que també intenten "empènyer" els programes malintencionats en mal comportament, intentant trencar els bucles bloquejats.

Malauradament, els productors de programari maliciós són infinitament innovadors i, tot i que només un cinc per cent ha començat a treballar per combatre caixes de sorra, és segur que hi ha altres que no coneixem. "Sempre que els venedors surtin amb noves solucions, els atacants s'adapten i aquesta qüestió no és diferent", va dir Kruegel.

La bona notícia és que, tot i que l’empenta i l’atracció tecnològica pot no acabar-se en cap moment, altres usuaris s’orienten als mètodes que utilitzen els productors de programari maliciós per guanyar diners. Potser això afectarà els dolents on fins i tot la programació més intel·ligent no els pot protegir: les seves carteres.

L’avorriment del programari maliciós es pot fer amb sandboxing antivirus