image

Sandbox-vermomming beschermt pc tegen malware

dinsdag 14 mei 2013, 14:59 door Redactie, 8 reacties

Om detectie en analyse door anti-virusbedrijven te voorkomen zijn steeds meer virussen, Trojaanse paarden en malware geprogrammeerd om de aanwezigheid van een virtual machine te herkennen, maar deze 'detectiemethode' kan ook worden gebruikt om computers te beschermen. Veel beveiligingsbedrijven gebruiken gevirtualiseerde omgevingen om malware-exemplaren te testen.

Op deze manier kan de malware geen echte schade aanrichten. Als het 'systeem' besmet raakt volstaat het om een nieuwe versie van de gevirtualiseerde omgeving te laden en kan de besmette versie worden verwijderd. Malwaremakers weten dat hun creaties niet op echte systemen worden getest en controleren daarom op de aanwezigheid van sandboxes en virtual machines.

Zodra deze worden aangetroffen stopt de malware met werken. Deze tactiek kan ook tegen de cybercriminelen worden ingezet. Als alle computers in een bedrijf als een gevirtualiseerde analyseomgeving er uitzien, zouden ze niet worden besmet door de Virtual Machine-bewuste malware.

Vaccinatie
"We kunnen dit als proactieve tegenmaatregel gebruiken door veelgebruikte aanwijzingen aan onze systemen toe te voegen en ze zo te 'vaccineren' tegen een grote hoeveelheid malware", zegt Mark Schloesser van beveiligingsbedrijf Rapid7. Hij merkt op dat de kans om een infectie te ontlopen ook kan worden vergroot door valse indicatoren en debuggers of andere analysetools toe te voegen.

Schloesser wijst naar een VirtualBox virtual machine met 'guest utilities', wat ervoor zorgt dat de Rebhip Trojan niet werkt. Deze malware vertoont geen enkele kwaadaardige activiteiten om de geautomatiseerde analyse te ontlopen.

Ook het gebruik van een debugger heeft hetzelfde effect. Als deze tactiek op grote schaal wordt toegepast zou dit het kostbaarder voor aanvallers maken om succesvol te zijn. Rapid7 heeft nu een programma gemaakt dat verschillende registersleutels, bestanden en directories toevoegt en verschillende processen start, waardoor het lijkt alsof de computer een virtual machine is.

Keuze
Of de malwaremaker moeten ervoor kiezen dat ze 'gevaccineerde systemen' niet infecteren, waardoor ze het risico lopen om echte computers te missen, of ze moeten stoppen met het gebruik van anti-virtual machine technieken, waardoor ze weer eenvoudiger door anti-virusbedrijven zijn te detecteren.

Het is niet voor het eerst dat er wordt gewezen op de mogelijkheid om de sandbox-detectie van malware te gebruiken. In 2009 werden varianten van de beruchte Bredolab Trojan ontdekt die geen computers infecteerde met de computernaam 'SANDBOX' en de gebruikersnaam USER, user, CurrentUser of Sandbox.

Reacties (8)
14-05-2013, 16:49 door M_iky
Ok en dan nu de vraag van één miljoen, hoe kan je je systeem zich laten voordoen als een virtual box of sandbox achtige omgeving? Zonder dat je echt in één van beide gaat werken.
14-05-2013, 16:58 door golem
Door M@iky: Ok en dan nu de vraag van één miljoen, hoe kan je je systeem zich laten voordoen als een virtual box of sandbox achtige omgeving? Zonder dat je echt in één van beide gaat werken.

Als je op de link klikt (bij zegt Mark Schloesser) zie het orginele engelstalige verhaal.
Daar staat in dat ze een aantal Virtualbox en VMware indicators hebben gemaakt
en deze op Github hebben gezet.

Dus daar kan je het vandaan halen.

Kom je het miljoen langsbrengen of maak je het gewoon over ? ;)
14-05-2013, 17:17 door Eric-Jan H te D
Dit verhaal laat op treffende wijze zien hoe het bestrijden van cybercriminaliteit niet moet.

"Het keer op keer trachten de ander met slimmigheidjes te snel af te zijn"

Veiligheid behoort impliciet te zijn aan het gebruikte computersysteem. Dus ja het fixen van gaten die in de impliciete beveiliging van een systeem zijn aangetroffen. En niet de gevolgen van het aanwezig zijn van die gaten pas in tweede instantie trachten te ondervangen.

Dat laatste kan alleen nog van nut zijn als een gebruiker door het onveilig gebruiken van een impliciet veilig systeem schade dreigt te veroorzaken. Maar beter nog is de gebruiker van een dergelijk misbruik af te houden. Een sandbox is daarvoor een mooi middel. Let wel de sandbox beveiligt dan het systeem tegen het kwaadaardigste virus dat er in computerland rondwaart "De computergebruiker zelf"
14-05-2013, 19:22 door Neusbeer
Ik werk standaard binnen Virtualbox, heb bij m'n aankoop van m'n pc windows 7 meegekregen.
deze is nog bijna net zo schoon als bij de aankoop (1 1/2 jaar geleden).
alleen Virtualbox geïnstalleerd, hierin mijn windows XP sp3 geïnstalleerd.
mocht er iets mis gaan kan ik windows gewoon opnieuw installeren.
a) Mijn computer blijft lekker snel, geen volgepropte registry, geen achterblijvende bestanden bij het
deïnstalleren van software op mijn 'main' Windows.
b) malware/virussen e.d. hebben geen toegang tot mijn privé gegevens als het wél eens misgaat.
(tegenwoordig met die Trojan Ransom virussen ben je snel al je gegevens kwijt (lees: gecodeerd en onmogelijk om terug te krijgen)).
c) bijkomstigheid is dat ik meerdere Windowsen (of linux) omgevingen tegelijk kan draaien.
14-05-2013, 20:24 door Eric-Jan H te D
Door Neusbeer: Ik werk standaard binnen Virtualbox, heb bij m'n aankoop van m'n pc windows 7 meegekregen.
deze is nog bijna net zo schoon als bij de aankoop (1 1/2 jaar geleden).

Ik moet binnenkort 2 PC's inrichten voor de mondhygiënistenpraktijk van mijn zus. Ik ben precies dat van plan voor de webbrowser toegang. Met VMware kun je via de "Unity" functionaliteit bijna naadloos een browser die in een VM (zal wel een light weight Linux worden) draait vanuit het originele OS benaderen. De rest van de noodzakelijke internettoegang wordt dan dmv een Firewall volledig beveiligd met als belangrijkste regel niets mag tenzij toegestaan.
15-05-2013, 08:22 door Anoniem
Mooi verhaal maar ware het niet dat moderne malware in staat is om te detecteren binnen wat voor omgeving het gestart wordt. Zo zal dergelijke malware een virtuele omgeving detecteren (is ook vrij eenvoudig) en zal zich dan ook geheel anders gedragen (voornamelijk onschuldig). Het werken in een virtuele omgeving is slechts een tijdelijk lapmiddel en zal snel gecompromitteerd worden. Een virtueel cloud OS (zoiets als de Citrix desktop) zou een oplossing kunnen zijn zolang de bron ervan veilig gehouden kan worden. Maar alles wat techniek heet en een connectie nodig heeft kan worden gehackt en geïnfecteerd. Late we gewoon accepteren dat we gehacked en geïnfecteerd zijn en laten we ons vooral richten in hoeverre we de schade binnen de perken kunnen houden.
15-05-2013, 10:02 door [Account Verwijderd]
[Verwijderd]
15-05-2013, 15:07 door Anoniem
Door Anoniem: Mooi verhaal maar ware het niet dat moderne malware in staat is om te detecteren binnen wat voor omgeving het gestart wordt. Zo zal dergelijke malware een virtuele omgeving detecteren (is ook vrij eenvoudig) en zal zich dan ook geheel anders gedragen (voornamelijk onschuldig). Het werken in een virtuele omgeving is slechts een tijdelijk lapmiddel en zal snel gecompromitteerd worden.

Ik heb het idee dat je bijzonder weinig van het artikel gelezen hebt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.