image

Europol bestrijdt malware met grote sandbox

woensdag 2 december 2015, 14:55 door Redactie, 2 reacties

Europol gebruikt al enkele jaren een grote sandbox om automatisch malware mee te detecteren en te analyseren en de informatie die dit oplevert met de lidstaten te delen. Het Europol Malware Analysis System (EMAS) ontvangt verdachte bestanden die door experts uit de lidstaten zijn geupload.

Vervolgens wordt het bestand in een gecontroleerde sandbox-omgeving uitgevoerd en de werking van de malware in kaart gebracht. De analyse die EMAS oplevert kan vervolgens naar de Secure Information Exchange Network Application (SIENA) worden gestuurd, een tool voor het delen van informatie tussen Europol, lidstaten en derde partijen, zo laat een woordvoerder van Europol tegenover Vice Magazine weten.

De resultaten van de analyse worden ook naar het Europol Analysis System (EAS), dat alle data opslaat, en het Computer Forensic Network (CFN) gestuurd. Het CFN filtert en verwerkt informatie uit grote hoeveelheden computergegevens, terwijl de geldigheid van de gegevens als bewijs of informatie bewaart blijft. Na de analyse kan EMAS het malware-exemplaar vergelijken met informatie in de eigen database, zoals domeinnamen en IP-adressen.

Zo kunnen onderzoekers malware met andere exemplaren vergelijken die in de Europese Unie zijn gevonden. Op deze manier kan bijvoorbeeld worden vastgesteld dat malware die in Duitsland en Frankrijk is ontdekt van dezelfde cybercriminelen afkomstig is. EMAS is inmiddels bij verschillende grote onderzoeken van Europol ingezet. Daarnaast wordt er later dit jaar een tweede versie van het systeem gelanceerd. Tot nu toe heeft EMAS 186.000 bestanden geanalyseerd, waarvan er ruim 38.000 als kwaadaardig werden bestempeld.

Reacties (2)
02-12-2015, 15:52 door Anoniem
"A Giant Malware Sandbox Is Europol's Secret to Fighting Hackers"

Niet echt indrukwekkend indien je in enkele jaren tijd 38.000 samples weet te bestempelen als kwaadaardig. Per dag verschijnen er al enkele malen dit aantal samples. Een gratis dienst als VirusShare biedt >100.000 samples publiekelijk aan per week.....
04-12-2015, 19:54 door Rarsus
Daar is een verschil in benadering. Virustotal scant en zegt of iets malware is, en detonation/analysis sandbox voert uit, analyseert en verwerkt malware op een volkomen andere manier.

Kort gezegd: het verschil tussen dat iets malware is en wat het doet, door wie het is gemaakt, waarheen het verbindt, etc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.