Heuristisches Scanning und Sandboxing: Das Beste aus beiden Welten

Originalartikel von Chingo Liao and Kuanyu Chen, Threats Analysts

Gegen gezielte Angriffe lässt sich das Netzwerk eines Unternehmens mit nur einer einzigen Technologie nicht abschirmen. Doch gibt es Wege, mit Kombinationen der Sicherheitstechnik wie Sandboxing und heuristischem Scanning einen höheren Schutz zu erreichen.

Trend Micro nutzt Heuristiken und Sandboxing komplementär, sodass die eine Technik die Unzulänglichkeiten der anderen ausgleichen kann, und somit unbekannte Bedrohungen effizient und so schnell wie möglich erkannt werden. Für das heuristische Scanning wird ein regelbasiertes System eingesetzt, das die potenziell bösartigen Dateien schnell identifiziert. Die Effizienz des Systems hängt zu einem guten Teil davon ab, wie die Regeln definiert sind. Sandboxing wiederum stellt eine Methode dar, um verdächtige Dateien in einer geschützten Umgebung, üblicherweise eine virtuelle Maschine, sicher auszuführen. So lässt sich feststellen, was die Datei tut, ohne den Host zu infizieren.

Effizienz und Genauigkeit

In der Praxis agiert heuristisches Scanning als ein Filter, bevor eine Datei in die Sandbox geschickt wird. Damit lassen sich Kosten reduzieren und die Systemkapazität erhöhen. Das heuristische Scanning kann auch den Dateityp bestimmen und bei einer guten Zusammenarbeit auch die Sandbox darüber informieren, um welche Art der Datei es sich handelt, etwa Word 2003, 2007 oder 1.0. Die Sandbox kann dann die Datei in der entsprechenden Umgebung ausführen.

Auch wenn eine Sandbox über genügend Ressourcen verfügt, um eine Datei unter allen möglichen Bedingungen auszuführen, so gibt es Schadsoftware, die herausfinden kann, ob sie in einer Sandbox läuft, um dann keine bösartige Routine auszuführen. Ein IT-Administrator ist deshalb gut beraten, die Möglichkeit zu haben, diese Datei schon vorher über heuristisches Scanning zu entdecken.

Wie bereits erwähnt, hängt die Effizienz der Heuristik und des Sandboxing stark von den definierten heuristischen Regeln ab. Diese müssen vorausschauend genug sein, um auch unbekannte Bedrohungen zu erkennen, aber dennoch spezifisch genug, um False Positives zu vermeiden.

Eine gute Möglichkeit, die Effizienz dieser Regeln festzustellen, besteht darin, sie über Zero-Day-Exploits zu prüfen. Diese Exploits sind Schädlinge, die nicht gepatchte Schwachstellen mit ähnlichen Ausnutzungstechniken überwinden. Sind die Regeln „schlau“ genug, so erkennen sie die Zero-Days.

Auch bereits einige Jahre alte Regeln in der Trend Micro Advanced Threat Scan Engine haben beispielsweise jüngste Zero-Days erkannt:

  1. CVE-2014-1761 wurde im April 2014 von einer 2012 aufgestellten Regeln erkannt — HEUR_RTFEXP.A/HEUR_RTFMALFORM.
  2. CVE-2014-0496  wurde im Februar 2014 von einer 2010 entwickelten Regel erkannt — HEUR_PDFEXP.A
  3. CVE-2013-3346 wurde im November 2013 von einer 2010 entwickelten Regel erkannt — HEUR_PDFEXP.A

Ziel ist die frühe Erkennung

Unternehmen müssen sich dessen bewusst sein, dass je später sie einen gezielten Angriff erkennen,es umso schwieriger ist, den Schaden zu begrenzen oder sogar den Angriff zu erkennen. Aus diesem Grund muss die frühzeitige Erkennung für Netzwerkverteidigung absoluten Vorrang haben. Des Weiteren ist ein mehrschichtiger Schutz von großer Bedeutung in einer längerfristigen Verteidigungsstrategie.

Zusätzliche Analysen von Shih-hao Weng and Sunsa Lue.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.