Om detectie en analyse door anti-virusbedrijven te voorkomen zijn steeds meer virussen, Trojaanse paarden en malware geprogrammeerd om de aanwezigheid van een virtual machine te herkennen, maar deze 'detectiemethode' kan ook worden gebruikt om computers te beschermen. Veel beveiligingsbedrijven gebruiken gevirtualiseerde omgevingen om malware-exemplaren te testen.
Op deze manier kan de malware geen echte schade aanrichten. Als het 'systeem' besmet raakt volstaat het om een nieuwe versie van de gevirtualiseerde omgeving te laden en kan de besmette versie worden verwijderd. Malwaremakers weten dat hun creaties niet op echte systemen worden getest en controleren daarom op de aanwezigheid van sandboxes en virtual machines.
Zodra deze worden aangetroffen stopt de malware met werken. Deze tactiek kan ook tegen de cybercriminelen worden ingezet. Als alle computers in een bedrijf als een gevirtualiseerde analyseomgeving er uitzien, zouden ze niet worden besmet door de Virtual Machine-bewuste malware.
Vaccinatie
"We kunnen dit als proactieve tegenmaatregel gebruiken door veelgebruikte aanwijzingen aan onze systemen toe te voegen en ze zo te 'vaccineren' tegen een grote hoeveelheid malware", zegt Mark Schloesser van beveiligingsbedrijf Rapid7. Hij merkt op dat de kans om een infectie te ontlopen ook kan worden vergroot door valse indicatoren en debuggers of andere analysetools toe te voegen.
Schloesser wijst naar een VirtualBox virtual machine met 'guest utilities', wat ervoor zorgt dat de Rebhip Trojan niet werkt. Deze malware vertoont geen enkele kwaadaardige activiteiten om de geautomatiseerde analyse te ontlopen.
Ook het gebruik van een debugger heeft hetzelfde effect. Als deze tactiek op grote schaal wordt toegepast zou dit het kostbaarder voor aanvallers maken om succesvol te zijn. Rapid7 heeft nu een programma gemaakt dat verschillende registersleutels, bestanden en directories toevoegt en verschillende processen start, waardoor het lijkt alsof de computer een virtual machine is.
Keuze
Of de malwaremaker moeten ervoor kiezen dat ze 'gevaccineerde systemen' niet infecteren, waardoor ze het risico lopen om echte computers te missen, of ze moeten stoppen met het gebruik van anti-virtual machine technieken, waardoor ze weer eenvoudiger door anti-virusbedrijven zijn te detecteren.
Het is niet voor het eerst dat er wordt gewezen op de mogelijkheid om de sandbox-detectie van malware te gebruiken. In 2009 werden varianten van de beruchte Bredolab Trojan ontdekt die geen computers infecteerde met de computernaam 'SANDBOX' en de gebruikersnaam USER, user, CurrentUser of Sandbox.
Deze posting is gelocked. Reageren is niet meer mogelijk.