Sandbox technikák II – APT védelem gyakorlatban

679c17020908cuwckbcjdElőző cikkünkben felvázoltuk, hogy milyen funkciók várhatók el a napjainkban vezető és elérhető Sandbox technikákat alkalmazó Zero-Day védelmi módszerekben. Mostani cikkünkben megtudhatja – egy nemrég kiadott elemzés alapján – az egyes gyártók technológiai sajátosságait és hatékonysági mutatóit.

Még egy kis elmélet

A BDS rendszer, mint egyfajta intelligens védelmi módszer adaptív hatékonysági mutatókkal rendelkezik. Erre az adaptivitásra, a támadók által használt egyre újabb és újabb megkerülési, elfedési technikák ellenében van szükség. A vizsgálatok minden esetben egy elkülönített – emulált – környezetben történő vizsgálatot jelent.

Ha a támadó felkészíti a kártékony kódot, hogy felismerje – fel tudja ismerni – az ilyen környezeteket, sikeresség esetén módosítani tudja a viselkedését és ezáltal elfedni a kártékony tevékenységet. Így észrevétlen marad a rendszer számára és nagy valószínűséggel eljuthat a célpontjára. Ilyen vizsgálat lehet a kártevő oldaláról pl. az emulált környezetekre jellemző értékek vizsgálata (registry kulcsok, hardver paraméterek), az egér mozgásának detektálása, billentyűzet érzékelése, felhasználói intervenciók figyelése, stb…

Ennek megelőzésére az emulációs környezeteket a gyártóknak fel kell készíteni, hogy a támadó kód ne legyen képes felismerni, hogy valószínűleg vizsgálat alatt van, és ezáltal módosítsa működését.

A gyártók ennek megvalósítására a megoldás által támogatott operációs rendszer képfájlokat specializálják, felkészítik a vizsgálatokra. Ezért vannak limitációk, hogy az egyes rendszerek milyen OS verziókat és szoftvercsomagokat támogatnak. Természetesen egy rendszer annál hatékonyabb, minél több környezetben képes – egy időben – vizsgálni a támogatott fájltípusokat.

A vizsgálat eredményei

A vizsgálat a Check Point által készült, amiben 4 gyártó megoldását tesztelték saját laborjukban. A vizsgálathoz a Google által szolgáltatott VirusTotal adatbázisból véletlenszerűen kiválasztottak 300 db friss, de már ismert kártékony PDF, EXE és DOC fájlt, 40-40-20% arányban. Ezeket egy egyszerű eljárással oly módon módosítottak, hogy a fájl fertőző része – és ezáltal valós működése – ne módosuljon. Ezzel a hash alapú ellenőrzési módszerek számára ismeretlen, „új” fertőző fájlok generálódtak.

A fájlokat egy egyszerű szerver-kliens architektúra alapján felépített környezetben tesztelték a rendszereken keresztül. A teszt nem terjed ki a teljesítményre, csak a találati eredményeket vette figyelembe. Az érintett gyártók a 2014 júliusi állapot szerinti legfrissebb verzión és firmware-en, az alábbi eszközökön lettek tesztelve:

Test_Topology

  • Check Point – Threat Cloud, 13500 Gateway Appliance-en
  • FireEye – MVX on NX series 1310
  • Palo Alto – WilfFire Cloud, PA-5020 Gateway Appliance-en
  • Fortinet – FortiSandbox cloud, FortiGate 1500D Appliance-en

A találati arányok az alábbiak szerint alakultak:

Total_results

PDF_results
DOC_results
EXE_results

A teljes elemzést tartalmazó oldal elérhető itt

-VJ

Kérlek szavazz

Back to Top