ameaças

Aprimorando o melhor sandbox

A efetividade de um sandbox depende em grande parte de sua capacidade de imitar realisticamente um ambiente de trabalho.

Dmitry Reznikov
5 jun 2023

Rodar um sandbox é uma das ferramentas mais eficazes que existem para analisar objetos suspeitos e detectar comportamentos maliciosos. Diferentes implementações dessa tecnologia são usadas em uma ampla gama de soluções de segurança. Mas a precisão da detecção de ameaças depende diretamente da maneira como o sandbox emula o ambiente no qual os objetos suspeitos são executados.

O que é o sandbox e como funciona

Um sandbox é uma ferramenta que cria um ambiente isolado no qual o comportamento de processos suspeitos pode ser analisado. Isso geralmente ocorre em uma máquina virtual ou contêiner, o que permite ao analista examinar objetos potencialmente maliciosos sem o risco de infectar ou danificar um ambiente de trabalho real ou vazar dados corporativos importantes.

Por exemplo, o sandbox na plataforma Kaspersky Anti Targeted Attack (KATA) funciona da seguinte forma: se algum componente da solução de segurança detecta um objeto perigoso ou suspeito (por exemplo, um arquivo ou uma URL), ele é enviado para o sandbox para análise, junto com os detalhes do ambiente de trabalho (versão do sistema operacional, lista de programas instalados, configurações do sistema, etc.). O sandbox executa o objeto ou navega até a URL, registrando todos os processos:

Logs de execução, incluindo chamadas de API do sistema, operações de arquivo, atividade de rede, URLs e processos acessados pelo objeto
Capturas de sistema e de memória (despejos)
Objetos criados (descompactados ou baixados)
Tráfego de rede

Após a conclusão do cenário de teste, os dados coletados são analisados e verificados em busca de vestígios de atividade maliciosa. Caso sejam encontrados, o objeto é sinalizado como malicioso e as técnicas, táticas e procedimentos identificados são mapeados para a matriz MITRE ATT&CK. Todos os dados recuperados são armazenados para análise posterior.

Desafios do Sandbox

O principal problema com os sandboxes é que os cibercriminosos os conhecem e aprimoram constantemente seus métodos de evasão. Para contornar a proteção do sandbox, os cibercriminosos focam no desenvolvimento de tecnologias para detectar recursos específicos de ambientes virtuais. Eles fazem isso procurando artefatos característicos ou estados da sandbox, ou comportamento não natural do usuário virtual. Ao detectar (ou apenas suspeitar) de tais sinais, o programa malicioso altera seu comportamento ou se autodestrói.

No caso de malware usado para ataques direcionados, os cibercriminosos analisam meticulosamente a configuração do sistema operacional e o conjunto de programas usados na máquina alvo. A atividade maliciosa é acionada apenas se o software e o sistema estiverem em total conformidade com as expectativas dos invasores. O malware pode funcionar em intervalos de tempo estritamente definidos ou ser ativado após uma determinada sequência de ações do usuário.

Como tornar um ambiente artificial mais real

Para enganar uma ameaça potencial em um ambiente seguro, são implementadas combinações de diferentes abordagens:

Ambientes virtuais variáveis e aleatórios: criação de vários sandboxes com diferentes combinações de configurações e software instalado
Simulação realista do comportamento do usuário, incluindo a velocidade de digitação de senhas, visualização de texto, movimentação do cursor, clique do mouse
Uso de uma máquina física separada (não virtual) isolada do ambiente de trabalho para analisar objetos suspeitos relacionados a ataques de hardware e drivers de dispositivo
Uma combinação de análise estática e dinâmica; monitoramento do comportamento do sistema em determinados intervalos de tempo; uso de tecnologias de aceleração de tempo em máquinas virtuais
Uso de cópias de estações de trabalho reais do ambiente de destino, incluindo sistema operacional e configuração de programas, plug-ins e configurações de segurança

Nosso sandbox implementa todas essas técnicas: pode emular o comportamento de um usuário real, implantar ambientes aleatórios e operar em modo manual ou automático. E recentemente atualizamos nossa solução estendida de detecção e resposta – Kaspersky Anti Targeted Attack Platform. A sandbox integrada agora permite que você use imagens de sistema personalizadas com uma escolha de sistema operacional (da lista de compatíveis) e instale programas de terceiros. Mais informações sobre a plataforma estão disponíveis na página KATA dedicada.

Nova vulnerabilidade de hardware em processadores Intel é detectada

Uma breve explicação em linguagem simples de um método avançado de roubo de dados usando recursos das CPUs atuais.

FERRAMENTAS GRATUITAS

Soluções de segurança direcionadas

Soluções Corporativas

Aprimorando o melhor sandbox

O que é o sandbox e como funciona

Desafios do Sandbox

Como tornar um ambiente artificial mais real

Nem flores nem presentes: como as mulheres são enganadas

Cinco ciberataques a departamentos de marketing

Nova vulnerabilidade de hardware em processadores Intel é detectada

Dicas

Anunciantes compartilhando seus dados com… agências de inteligência

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como mudar para a Kaspersky: um guia de migração passo a passo

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog