Firma FireEye podkreśla w swoim najnowszym raporcie znaczenie analizy wielostrumieniowej w wykrywaniu zaawansowanego szkodliwego oprogramowania

Wykryto cztery nowe techniki stosowane przez twórców szkodliwego oprogramowania do unikania tradycyjnych, plikowych technologii typu „sandbox”

FireEye Inc., lider w dziedzinie ochrony przed zaawansowanymi cyberatakami, poinformowała o opublikowaniu raportu pt. „Hot Knives Through Butter: Evading File-based Sandboxes” Raport ten powstał na podstawie danych uzyskanych w trakcie obserwacji tysięcy zaawansowanych ataków, które pozostały niewykryte przez zabezpieczenia wykorzystujące sygnatury oraz plikowe technologie typu „sandbox”. Autorzy raportu prezentują świeże spojrzenie na coraz większe obecnie znaczenie analizy kontekstowej przeprowadzanej przy użyciu specjalistycznych środowisk wykonawczych.

„Twórcy zaawansowanego szkodliwego oprogramowania wykorzystują różne mechanizmy zabezpieczające, aby ich atak nie został wykryty. Dlatego właśnie osoby zajmujące się bezpieczeństwem w przedsiębiorstwach muszą na bieżąco śledzić rozwój technologii aby nie trafić na pierwsze strony gazet”

— powiedział Jon Oltsik, starszy analityk w Enterprise Strategy Group.

„Obecnie technologie typu „sandbox’ stają się standardem w systemach zabezpieczeń komputerowych. Ale nie wszystkie tego rodzaju środowiska są takie same. Znajomość sposobu działania tych środowisk oraz technik unikania wykrycia przez takie środowiska może pomóc w uniknięciu poważnych włamań”.

Opublikowany w sierpniu 2013 r. raport „Hot Knives” opisywał 11 technik unikania wykrycia stosowanych przez autorów ataków typu APT (advanced persistent threats) oraz zaawansowanego, złośliwego oprogramowania. Techniki te wykorzystywały różne charakterystyczne elementy konfiguracyjne, środowiskowe oraz interakcję z użytkownikiem czy też specyficzne cechy oprogramowania wirtualizacyjnego. W najnowszym raporcie znalazł się szczegółowy opis czterech nowych technik:

  • Specjalne programy pobierające, które wykorzystują to, że większość plikowych środowisk testowych nie ma dostępu do Internetu, w związku z czym rejestrowane jest tylko nieudane żądanie nawiązania komunikacji z wykorzystaniem protokołu HTTP, ale nie jest rozpoznawana witryna docelowa.

  • Nazwa tymczasowa badanego pliku: szkodliwe oprogramowanie sprawdza predefiniowane nazwy, jakie środowiska testowe przypisują tymczasowo plikom wykonywanym w celu przeprowadzenia analizy, w celu uśpienia oprogramowania na czas badania, co pozwala uniknąć wykrycia.

  • Wykrywanie na podstawie informacji o woluminie: szkodliwe oprogramowanie ustala numery seryjne dysków twardych wykorzystywanych na potrzeby środowisk testowych i przechodzi w stan uśpienia w przypadku wykrycia numeru seryjnego odpowiadającego znanemu środowisku testowemu.

  • Uruchomienie po restarcie: szkodliwe oprogramowanie pozostaje uśpione do czasu restartu komputera, co pozwala im uniknąć wykrycia, ponieważ środowiska testowe nie są zwykle restartowane.

„Obecnie osoby stojące za atakami opracowały techniki pozwalające im obejść zabezpieczenia wykorzystujące wirtualizację i środowiska typu „sandbox” znacznie dalej, niż przewidzieli to twórcy tradycyjnych rozwiązań zabezpieczających projektując je.

— powiedział Abhishek Singh, starszy inżynier w firmie FireEye.

„Podejście do kwestii bezpieczeństwa od strony czynności związanych z monitorowaniem z pominięciem ich kontekstu przypomina nawigowanie na otwartym morzu bez kompasu. Gdy spojrzymy na najnowsze techniki unikania wykrycia, zobaczymy wyraźnie, że obecnie jeszcze ważniejsze jest spojrzenie dalej niż podstawowe plikowe środowiska typu „sandbox””.

Pełna wersja raportu „Hot Knives Through Butter: Evading File-based Sandboxes” dostępna jest pod adresem: http://www.fireeye.com/resources/pdfs/fireeye-hot-knives-through-butter.pdf

Źródło: FireEye