Rodar um sandbox é uma das ferramentas mais eficazes que existem para analisar objetos suspeitos e detectar comportamentos maliciosos. Diferentes implementações dessa tecnologia são usadas em uma ampla gama de soluções de segurança. Mas a precisão da detecção de ameaças depende diretamente da maneira como o sandbox emula o ambiente no qual os objetos suspeitos são executados.
O que é o sandbox e como funciona
Um sandbox é uma ferramenta que cria um ambiente isolado no qual o comportamento de processos suspeitos pode ser analisado. Isso geralmente ocorre em uma máquina virtual ou contêiner, o que permite ao analista examinar objetos potencialmente maliciosos sem o risco de infectar ou danificar um ambiente de trabalho real ou vazar dados corporativos importantes.
Por exemplo, o sandbox na plataforma Kaspersky Anti Targeted Attack (KATA) funciona da seguinte forma: se algum componente da solução de segurança detecta um objeto perigoso ou suspeito (por exemplo, um arquivo ou uma URL), ele é enviado para o sandbox para análise, junto com os detalhes do ambiente de trabalho (versão do sistema operacional, lista de programas instalados, configurações do sistema, etc.). O sandbox executa o objeto ou navega até a URL, registrando todos os processos:
- Logs de execução, incluindo chamadas de API do sistema, operações de arquivo, atividade de rede, URLs e processos acessados pelo objeto
- Capturas de sistema e de memória (despejos)
- Objetos criados (descompactados ou baixados)
- Tráfego de rede
Após a conclusão do cenário de teste, os dados coletados são analisados e verificados em busca de vestígios de atividade maliciosa. Caso sejam encontrados, o objeto é sinalizado como malicioso e as técnicas, táticas e procedimentos identificados são mapeados para a matriz MITRE ATT&CK. Todos os dados recuperados são armazenados para análise posterior.
Desafios do Sandbox
O principal problema com os sandboxes é que os cibercriminosos os conhecem e aprimoram constantemente seus métodos de evasão. Para contornar a proteção do sandbox, os cibercriminosos focam no desenvolvimento de tecnologias para detectar recursos específicos de ambientes virtuais. Eles fazem isso procurando artefatos característicos ou estados da sandbox, ou comportamento não natural do usuário virtual. Ao detectar (ou apenas suspeitar) de tais sinais, o programa malicioso altera seu comportamento ou se autodestrói.
No caso de malware usado para ataques direcionados, os cibercriminosos analisam meticulosamente a configuração do sistema operacional e o conjunto de programas usados na máquina alvo. A atividade maliciosa é acionada apenas se o software e o sistema estiverem em total conformidade com as expectativas dos invasores. O malware pode funcionar em intervalos de tempo estritamente definidos ou ser ativado após uma determinada sequência de ações do usuário.
Como tornar um ambiente artificial mais real
Para enganar uma ameaça potencial em um ambiente seguro, são implementadas combinações de diferentes abordagens:
- Ambientes virtuais variáveis e aleatórios: criação de vários sandboxes com diferentes combinações de configurações e software instalado
- Simulação realista do comportamento do usuário, incluindo a velocidade de digitação de senhas, visualização de texto, movimentação do cursor, clique do mouse
- Uso de uma máquina física separada (não virtual) isolada do ambiente de trabalho para analisar objetos suspeitos relacionados a ataques de hardware e drivers de dispositivo
- Uma combinação de análise estática e dinâmica; monitoramento do comportamento do sistema em determinados intervalos de tempo; uso de tecnologias de aceleração de tempo em máquinas virtuais
- Uso de cópias de estações de trabalho reais do ambiente de destino, incluindo sistema operacional e configuração de programas, plug-ins e configurações de segurança
Nosso sandbox implementa todas essas técnicas: pode emular o comportamento de um usuário real, implantar ambientes aleatórios e operar em modo manual ou automático. E recentemente atualizamos nossa solução estendida de detecção e resposta – Kaspersky Anti Targeted Attack Platform. A sandbox integrada agora permite que você use imagens de sistema personalizadas com uma escolha de sistema operacional (da lista de compatíveis) e instale programas de terceiros. Mais informações sobre a plataforma estão disponíveis na página KATA dedicada.