Sandbox-vermomming beschermt pc tegen malware
Om detectie en analyse door anti-virusbedrijven te voorkomen zijn steeds meer virussen, Trojaanse paarden en malware geprogrammeerd om de aanwezigheid van een virtual machine te herkennen, maar deze 'detectiemethode' kan ook worden gebruikt om computers te beschermen. Veel beveiligingsbedrijven gebruiken gevirtualiseerde omgevingen om malware-exemplaren te testen.
Op deze manier kan de malware geen echte schade aanrichten. Als het 'systeem' besmet raakt volstaat het om een nieuwe versie van de gevirtualiseerde omgeving te laden en kan de besmette versie worden verwijderd. Malwaremakers weten dat hun creaties niet op echte systemen worden getest en controleren daarom op de aanwezigheid van sandboxes en virtual machines.
Zodra deze worden aangetroffen stopt de malware met werken. Deze tactiek kan ook tegen de cybercriminelen worden ingezet. Als alle computers in een bedrijf als een gevirtualiseerde analyseomgeving er uitzien, zouden ze niet worden besmet door de Virtual Machine-bewuste malware.
Vaccinatie
"We kunnen dit als proactieve tegenmaatregel gebruiken door veelgebruikte aanwijzingen aan onze systemen toe te voegen en ze zo te 'vaccineren' tegen een grote hoeveelheid malware", zegt Mark Schloesser van beveiligingsbedrijf Rapid7. Hij merkt op dat de kans om een infectie te ontlopen ook kan worden vergroot door valse indicatoren en debuggers of andere analysetools toe te voegen.
Schloesser wijst naar een VirtualBox virtual machine met 'guest utilities', wat ervoor zorgt dat de Rebhip Trojan niet werkt. Deze malware vertoont geen enkele kwaadaardige activiteiten om de geautomatiseerde analyse te ontlopen.
Ook het gebruik van een debugger heeft hetzelfde effect. Als deze tactiek op grote schaal wordt toegepast zou dit het kostbaarder voor aanvallers maken om succesvol te zijn. Rapid7 heeft nu een programma gemaakt dat verschillende registersleutels, bestanden en directories toevoegt en verschillende processen start, waardoor het lijkt alsof de computer een virtual machine is.
Keuze
Of de malwaremaker moeten ervoor kiezen dat ze 'gevaccineerde systemen' niet infecteren, waardoor ze het risico lopen om echte computers te missen, of ze moeten stoppen met het gebruik van anti-virtual machine technieken, waardoor ze weer eenvoudiger door anti-virusbedrijven zijn te detecteren.
Het is niet voor het eerst dat er wordt gewezen op de mogelijkheid om de sandbox-detectie van malware te gebruiken. In 2009 werden varianten van de beruchte Bredolab Trojan ontdekt die geen computers infecteerde met de computernaam 'SANDBOX' en de gebruikersnaam USER, user, CurrentUser of Sandbox.
Als je op de link klikt (bij zegt Mark Schloesser) zie het orginele engelstalige verhaal.
Daar staat in dat ze een aantal Virtualbox en VMware indicators hebben gemaakt
en deze op Github hebben gezet.
Dus daar kan je het vandaan halen.
Kom je het miljoen langsbrengen of maak je het gewoon over ? ;)
"Het keer op keer trachten de ander met slimmigheidjes te snel af te zijn"
Veiligheid behoort impliciet te zijn aan het gebruikte computersysteem. Dus ja het fixen van gaten die in de impliciete beveiliging van een systeem zijn aangetroffen. En niet de gevolgen van het aanwezig zijn van die gaten pas in tweede instantie trachten te ondervangen.
Dat laatste kan alleen nog van nut zijn als een gebruiker door het onveilig gebruiken van een impliciet veilig systeem schade dreigt te veroorzaken. Maar beter nog is de gebruiker van een dergelijk misbruik af te houden. Een sandbox is daarvoor een mooi middel. Let wel de sandbox beveiligt dan het systeem tegen het kwaadaardigste virus dat er in computerland rondwaart "De computergebruiker zelf"
deze is nog bijna net zo schoon als bij de aankoop (1 1/2 jaar geleden).
alleen Virtualbox geïnstalleerd, hierin mijn windows XP sp3 geïnstalleerd.
mocht er iets mis gaan kan ik windows gewoon opnieuw installeren.
a) Mijn computer blijft lekker snel, geen volgepropte registry, geen achterblijvende bestanden bij het
deïnstalleren van software op mijn 'main' Windows.
b) malware/virussen e.d. hebben geen toegang tot mijn privé gegevens als het wél eens misgaat.
(tegenwoordig met die Trojan Ransom virussen ben je snel al je gegevens kwijt (lees: gecodeerd en onmogelijk om terug te krijgen)).
c) bijkomstigheid is dat ik meerdere Windowsen (of linux) omgevingen tegelijk kan draaien.
deze is nog bijna net zo schoon als bij de aankoop (1 1/2 jaar geleden).
Ik moet binnenkort 2 PC's inrichten voor de mondhygiënistenpraktijk van mijn zus. Ik ben precies dat van plan voor de webbrowser toegang. Met VMware kun je via de "Unity" functionaliteit bijna naadloos een browser die in een VM (zal wel een light weight Linux worden) draait vanuit het originele OS benaderen. De rest van de noodzakelijke internettoegang wordt dan dmv een Firewall volledig beveiligd met als belangrijkste regel niets mag tenzij toegestaan.
Ik heb het idee dat je bijzonder weinig van het artikel gelezen hebt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
