image

Sandbox laat VM-bewuste malware zandhappen

vrijdag 21 december 2012, 17:48 door Redactie, 1 reacties

Malwaremakers doen steeds meer moeite om hun creaties voor anti-virusbedrijven te verbergen, maar die zitten zelf ook niet stil. Veel malware-analyses vinden in gevirtualiseerde omgevingen plaats. Om niet te worden ontdekt kijkt de malware eerst of die zich in een Virtual Machine bevindt. Is dit het geval, dan wordt de infectieroutine niet uitgevoerd en zou het erop kunnen lijken dat het een schoon bestand is.

Recentelijk verscheen er malware die kijkt of er een muis is aangesloten, er op de linkermuisknop geklikt is of dat de computernaam 'sandbox' wordt gebruikt.

Cuckoo
De Cuckoo Sandbox is een populaire sandbox om malware te analyseren. Beveiligingsbedrijf Alienvault Labs ontwikkelde verschillende manieren om deze sandbox beter tegen detectie door malware te wapenen, zodat de infectieroutine toch wordt uitgevoerd en onderzoekers de malware kunnen onderzoeken.

"Het is vrij lastig om alle functies af te dekken die malware kan gebruiken om Virtual Machines te detecteren, maar met het aanpassen van sommige veelvoorkomende functies kunnen we zo'n 90% van de gevallen afdekken", zegt Alberto Ortega. De aanpassingen zijn op deze pagina te vinden.

Windows 7
De makers van de Cuckoo Sandbox zitten zelf ook niet stil en hebben een nieuwe versie uitgebracht, genaamd 'To The End Of The World'. Volgens de ontwikkelaars is dit 'zonder twijfel' een van de beste releases tot nu toe, zowel qua stabiliteit, kwaliteit als nieuwe features.

Zo is er een 'native URL analyse toegevoegd, een REST API server om met Cuckoo samen te werken geïntroduceerd en wordt Windows 7 ondersteund.

Reacties (1)
23-12-2012, 21:57 door Anoniem
Waarom zou je een lijst met wijzigingen openbaar maken? Dan weten de virusmakers toch precies welke manier er nu weer zijn getroffen om ervoor te zorgen dat virussen gedetecteerd kunnen worden ondanks dat ze in een virtuele machine draaien en met welke maatregelen ze nu weer rekening moeten houden om te voorkomen dat ze gedetecteerd worden of zeg ik nu iets heel vreemds? Ik heb geen verstand van dit soort zaken, maar ik zou dus denken: Houd vooral geheim welke maatregelen je treft, zodat de virusschrijver zo min mogelijk hints hebben wat betreft de maatregelen die getroffen worden.

Windows 7 wordt ondersteund? Nu al? Windows 8 is ondertussen al uit. Zijn dan niet wat erg laat met ondersteuning voor Windows 7?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.