Οι εποχές όπου το malware απλά γέμιζε την οθόνη με «σκουπίδια», ή διέγραφε κάποια αρχεία, έχουν παρέλθει. Πλέον οι απειλές είναι πιο στοχευμένες. Σκοπός των επιτιθέμενων είναι να αποκομίσουν κέρδος, παρά να δημιουργήσουν χάος. Μπορεί να  κρυπτογραφήσουν τα αρχεία ενός συστήματος για λύτρα, ή να εκβιάσουν μια εταιρία με πιθανές επιθέσεις DoS στους δικτυακούς της πόρους.

Πολύ συχνά οι σύγχρονοι ιοί δεν κάνουν καν αισθητή την παρουσία τους. Παραμένουν «σιωπηλοί» και συλλέγουν τις πληροφορίες που χρειάζονται από το στόχο τους μέχρι να αυτοκαταστραφούν.

Οι πιο εξελιγμένοι ιοί εμπίπτουν στην κατηγορία των Advance Persistent Threat (APT) όπου πρόκειται για στοχευμένες επιθέσεις. Συχνά στην κατηγορία αυτή τοποθετούνται και οι πολυμορφικοί ιοί, οι οποίοι τροποποιούν τμήματα του κώδικά τους σε κάθε νέα εξάπλωση που κάνουν, με αποτέλεσμα τα συμβατικά antivirus προγράμματα να μην μπορούν να τους ανιχνεύσουν. Ο πολυμορφισμός μπορεί να επιτευχθεί ακόμα και με αλλαγή ονομάτων, συμπίεση ή και κρυπτογράφηση, και  παρόλη την αλλαγή τμήματος του κώδικα το τελικό αποτέλεσμα στον στόχο να παραμένει το ίδιο.

Ακόμα κι αν ανιχνευθεί κάποιο κακόβουλο APT και το antivirus δημιουργήσει signature για τα pattern του, το signature δεν θα είναι αποτελεσματικό για την νέα μορφή του APT που θα προσπαθήσει να μολύνει τον επόμενο στόχο. Εξαιτίας των APT αλλά και της ραγδαίας αύξησης των Malware, η διαδικασία ανίχνευσης των ιών πρέπει εκτός από signature based, να γίνεται και με – αυτοματοποιημένη – ανάλυση της συμπεριφοράς.

Η βέλτιστη λύση που πλεονεκτεί

Ο πιο αποτελεσματικός τρόπος ανάλυσης συμπεριφοράς είναι η τεχνολογία Sandboxing. Η βασική ιδέα του Sandboxing είναι να ελέγχονται τα προγράμματα σε έναν κλειστό ελεγχόμενο περιβάλλον. Ο έλεγχος αναλύει τον τρόπο που συμπεριφέρεται το πρόγραμμα όταν ενεργοποιηθεί. Πιθανή περίεργη συμπεριφορά θα έχει σαν αποτέλεσμα να μπλοκαριστεί το πρόγραμμα και να δημιουργηθεί signature το οποίο θα προστεθεί στην Database του Antivirus. Τα περιβάλλον Sandbox μπορεί να είναι προσομοιωτής λειτουργικού, virtual μηχάνημα ή φυσικό μηχάνημα. Μπορεί να κάνει monitor με ακρίβεια κάθε ενέργεια του προγράμματος, ακόμα και πιθανά DNS requests, URL που ζητήθηκαν και τροποποιήσεις στην registry.

Η τεχνολογία Sandboxing έχει αρκετά πλεονεκτήματα σε σχέση την συμβατική μέθοδο των signatures, όμως παραμένει η ανάγκη για ταυτόχρονη υλοποίηση και των δύο τεχνολογιών, καθώς ο έλεγχος για malware μέσω signatures είναι πολύ πιο γρήγορος σε σχέση με το sandboxing. Επιπλέον, έχουν βρεθεί τεχνικές που μπορούν να παρακάμψουν την ανάλυση ενός malware από κάποιο sandbox. Η βασική ιδέα των τεχνικών αυτών είναι το ίδιο το Malware να καταλάβει ότι εκτελείται μέσα σε περιβάλλον sandbox και να αναστείλει την κακόβουλη λειτουργία του με αποτέλεσμα να χαρακτηριστεί ως «καθαρό».

Τεχνικές Ελέγχου

Μερικά παραδείγματα ανίχνευσης από το malware ότι βρίσκεται σε περιβάλλον Sandbox είναι ο έλεγχος για VMware Registry keys και adapters. Συχνά ελέγχεται ο αριθμός των διαθέσιμων πυρήνων, το μέγεθος της μνήμης RAM και του Hard Drive. Συνήθως τα Virtual μηχανήματα που λειτουργούν σαν Sandbox έχουν ένα πυρήνα, 1GB RAM και μέγιστο 100GB σκληρό δίσκο. Υπάρχουν και πιο εξειδικευμένες τεχνικές όπως ο έλεγχος για συγκεκριμένα processes (vmsrvc.exe, vmusrvc.exe, vboxtray.exe, vmtoolsd.exe, df5serv.exe, vboxservice.exe), ή έλεγχος της MAC Address του συστήματος στο οποίο εκτελείται το Malware, καθώς τα τρία πρώτα bytes βοηθούν στην αναγνώριση του κατασκευαστή της κάρτας δικτύου. Επίσης μπορεί να ελέγχεται αν δημιουργείται κάποιο exception όταν το μήκος ενός instruction στη CPU είναι μεγαλύτερο από 0x15 bytes. Η ύπαρξη exception οδηγεί στο συμπέρασμα ότι η CPU είναι φυσική και όχι virtual. Τέλος συχνά τα sandboxes κάνουν Inject modules σε κάποια processes ώστε να μπορούν να καταγράφουν την δραστηριότητα του process αυτού. Επειδή αρκετά από τα modules που χρησιμοποιούνται για το σκοπό αυτό είναι ευρέως γνωστά, μπορούν να χρησιμοποιηθούν από τα Malware ως μέθοδος ανίχνευσης sandbox.

Τα συστήματα Sandboxing και Behavior Monitoring 2ης γενιάς μπορούν να αντιμετωπίσουν τέτοιες τεχνικές. Αυτό επιτυγχάνεται ενσωματώνοντας ένα πλήθος από αντίμετρα όπως unknown list of running processes, unknown file system και  registry artifacts, μη χρήση των guest VM tools, πολλαπλοί πυρήνες στον επεξεργαστή, άγνωστη hypervisor port για επικοινωνία του Host με τα guest λειτουργικό σύστημα κ.α. Τέλος θα πρέπει τα Sandbox να μπερδεύουν το εκτελέσιμο πρόγραμμα σχετικά με το χρόνο, καθώς αρκετά malware παραμένουν ανενεργά για μεγάλο χρονικό διάστημα επειδή είναι προγραμματισμένα να εκτελέσουν το κακόβουλο τμήμα του κώδικά τους μέρες ή και βδομάδες  μετά από την αρχική μόλυνση.

Μια συνεργασία για λύσεις κορυφαίας απόδοσης

Μία από τις κορυφαίες εταιρείες παροχής προηγμένου Sandboxing και γενικά ανίχνευσης APTs είναι η LastLine η οποία καλύπτει σε αυτό τον τομέα τα περισσότερα από τα μεγάλα δίκτυα παγκοσμίως. Η Lastline προσφέρει το μηχανισμό ανίχνευσης που έχει αναπτύξει, στα πλαίσια στρατηγικής συνεργασίας, στη Watchguard η οποία ενσωματώνει τη λύση ανίχνευσης και προστασίας από APTs στα Next Generation Firewalls που προσφέρει. Η συνεργασία της Watchguard με την Lastline αποτελεί παράδειγμα ενσωμάτωσης τεχνολογιών Sandboxing σε NG Firewalls, με αποτέλεσμα να παρέχει προστασία κορυφαίου επιπέδου από Zero Day επιθέσεις, Ransomware και APT malware, σε προσιτό κόστος που μπορεί να καλυφθεί και από μικρομεσαία δίκτυα. Σε σύγκριση με τις υπόλοιπες προσεγγίσεις Sandboxing με virtualization ή OS emulation, η υπηρεσία που παρέχεται στα Firewall της Watchguard χρησιμοποιεί  full-system emulation με αποτέλεσμα να προσφέρει εις βάθος έλεγχο της συμπεριφοράς του malware και παράλληλα να αποφεύγεται οποιαδήποτε τεχνική παράκαμψης της τεχνολογίας Sandboxing, που τυχόν είναι ενσωματωμένη στο malware. Χαρακτηριστικό παράδειγμα της κορυφαίας λειτουργίας του, αποτελούν τα σχεδόν μηδενικά ποσοστά false-positive αναφορικά με τις επιθέσεις Ransomware.

 

Γιάννης Δασκαλόπουλος

Security Solutions Supervisor

Digital SIMA