Sandbox technikák II – APT védelem gyakorlatban
Előző cikkünkben felvázoltuk, hogy milyen funkciók várhatók el a napjainkban vezető és elérhető Sandbox technikákat alkalmazó Zero-Day védelmi módszerekben. Mostani cikkünkben megtudhatja – egy nemrég kiadott elemzés alapján – az egyes gyártók technológiai sajátosságait és hatékonysági mutatóit.
Még egy kis elmélet
A BDS rendszer, mint egyfajta intelligens védelmi módszer adaptív hatékonysági mutatókkal rendelkezik. Erre az adaptivitásra, a támadók által használt egyre újabb és újabb megkerülési, elfedési technikák ellenében van szükség. A vizsgálatok minden esetben egy elkülönített – emulált – környezetben történő vizsgálatot jelent.
Ha a támadó felkészíti a kártékony kódot, hogy felismerje – fel tudja ismerni – az ilyen környezeteket, sikeresség esetén módosítani tudja a viselkedését és ezáltal elfedni a kártékony tevékenységet. Így észrevétlen marad a rendszer számára és nagy valószínűséggel eljuthat a célpontjára. Ilyen vizsgálat lehet a kártevő oldaláról pl. az emulált környezetekre jellemző értékek vizsgálata (registry kulcsok, hardver paraméterek), az egér mozgásának detektálása, billentyűzet érzékelése, felhasználói intervenciók figyelése, stb…
Ennek megelőzésére az emulációs környezeteket a gyártóknak fel kell készíteni, hogy a támadó kód ne legyen képes felismerni, hogy valószínűleg vizsgálat alatt van, és ezáltal módosítsa működését.
A gyártók ennek megvalósítására a megoldás által támogatott operációs rendszer képfájlokat specializálják, felkészítik a vizsgálatokra. Ezért vannak limitációk, hogy az egyes rendszerek milyen OS verziókat és szoftvercsomagokat támogatnak. Természetesen egy rendszer annál hatékonyabb, minél több környezetben képes – egy időben – vizsgálni a támogatott fájltípusokat.
A vizsgálat eredményei
A vizsgálat a Check Point által készült, amiben 4 gyártó megoldását tesztelték saját laborjukban. A vizsgálathoz a Google által szolgáltatott VirusTotal adatbázisból véletlenszerűen kiválasztottak 300 db friss, de már ismert kártékony PDF, EXE és DOC fájlt, 40-40-20% arányban. Ezeket egy egyszerű eljárással oly módon módosítottak, hogy a fájl fertőző része – és ezáltal valós működése – ne módosuljon. Ezzel a hash alapú ellenőrzési módszerek számára ismeretlen, „új” fertőző fájlok generálódtak.
A fájlokat egy egyszerű szerver-kliens architektúra alapján felépített környezetben tesztelték a rendszereken keresztül. A teszt nem terjed ki a teljesítményre, csak a találati eredményeket vette figyelembe. Az érintett gyártók a 2014 júliusi állapot szerinti legfrissebb verzión és firmware-en, az alábbi eszközökön lettek tesztelve:
- Check Point – Threat Cloud, 13500 Gateway Appliance-en
- FireEye – MVX on NX series 1310
- Palo Alto – WilfFire Cloud, PA-5020 Gateway Appliance-en
- Fortinet – FortiSandbox cloud, FortiGate 1500D Appliance-en
A találati arányok az alábbiak szerint alakultak:
A teljes elemzést tartalmazó oldal elérhető itt
-VJ