Die Hornetsecurity Sandbox geht schädlichen Dateien bis auf den Grund.

Eines der Haupteinfallstore von Malware ist nach wie vor die E-Mail. Egal, ob direkt als Dateianhang oder über einen Downloadlink – befinden sich die Schadcodes erst einmal auf lokalen Geräten, haben die üblichen Abwehrmaßnahmen versagt. Und das Wettrüsten zwischen Angreifern und IT-Security-Anbietern dauert an. Auch Hornetsecurity entwickelt seine Verteidigungsmaßnahmen daher immer weiter.

Ein Teil davon ist die Sandbox von Hornetsecurity Advanced Threat Protection (ATP): Diese durchleuchtet alle potentiell gefährlichen E-Mail-Anhänge und verdächtigen Dateien, die während des URL Rewritings überprüft werden, in einer von anderen Systemen abgeschirmten Umgebung auf Herz und Nieren. Um diese Dateien genau zu analysieren, kommen unterschiedliche Techniken zur Anwendung.

 

Statische Analyse

Vor der Untersuchung in der Sandbox werden die Dateien in der statischen Analyse unter die Lupe genommen, ohne diese auszuführen. Hierbei schaut sich das Erkennungssystem allgemeine Metadaten der Datei wie das Erstellungsdatum, das Änderungsdatum und den Autor ganz genau an.

Außerdem findet eine Analyse von Makros aus Office-Dateien und JavaScript-Code aus PDF-Dateien statt. Die einzelnen Abschnitte von Portable Executables – unter Windows ausführbare Dateien – werden nach kritischen Inhalten durchsucht. Dabei trägt das System Informationen zu den genutzten Libraries zusammen, anhand denen sich beispielsweise erkennen lässt, ob die Datei mit dem Internet kommuniziert.

Zudem werden auslesbare Zeichen, die in der Datei ausgegeben werden, analysiert. So lassen sich zum Beispiel auffällige Webseitenaufrufe schon vor der Ausführung der Datei finden. Zur statischen Analyse zählt auch die Überprüfung der Datei anhand ihres Hash-Wertes durch eine Vielzahl von Antivirenprogrammen.

Während der statischen Analyse „seziert“ ein Algorithmus die Datei im wahrsten Sinne des Wortes, um möglichst viele Informationen zu gewinnen und daraus eine Basis zur Entwicklung von Virensignaturen zu erhalten. Diese Signaturen werden dazu verwendet, um Viren an bestimmten Mustern eindeutig zu identifizieren.

Der folgende Screenshot zeigt einen Teil des Codes eines Office-Makros in der statischen Analyse.

 

 

 

Die Sandbox-Analyse

In der dynamischen Analyse wird die Datei in der Sandbox ausgeführt. An diesem Punkt analysiert die Sandbox-Engine alle Systemveränderungen bei der Ausführung der Datei – also zur Laufzeit. Dazu protokolliert sie das Verhalten der Systemprozesse, die Systemaufrufe und Veränderungen an der Registry und wertet sie anschließend nach Abnormitäten aus (Screenshot 2).

Zusätzlich wird der komplette Netzwerkverkehr des Systems mitgeschnitten, um auffällige Verbindungen zu ermitteln. Versucht die Datei mit einem Command-and-Control-Server zu kommunizieren und weiteren Schadcode nachzuladen, fängt die Sandbox diesen Vorgang auf und die Malware ab. Während die Datei ausgeführt wird, fertigt das System automatisch Screenshots aller Programmaufrufe an.

Nachdem die dynamische Analyse abgeschlossen ist, wird die virtuelle Sandbox-Umgebung, in der die Datei ausgeführt wurde, wieder auf einen früheren Stand zurückgesetzt. Somit lässt sich bei einer Infizierung das System von der Malware bereinigen.

 

 

Auf der Grundlage aller vorliegenden Analysen beurteilt die Sandbox die Datei nach ihrer potentiellen Gefahr. Als Ergebnis erhält sie einen Wert zwischen 0 und 10.

 

Neuer ATP-Report

Mit dem Update der Sandbox auf die Version 2.0 erhielt der ATP-Report eine grundsätzliche Überarbeitung. Hier finden ATP-Benutzer umfangreiche Informationen über die analysierte Datei.

In der Übersicht werden die wichtigsten Punkte der Analyse zusammengefasst. Neben der Gefährlichkeitsbewertung der Datei (Screenshot 3), zeigt der Report die zutreffenden Virensignaturen an und teilt sie nach ihrer Bedrohung in die drei Kategorien Achtung, Warnung und Gefahr ein (Screenshot 4). Zudem führt er auch die in der Sandbox entstandenen Screenshot auf (Screenshot 5).

 

 

 

 

Unter den weiteren Menüpunkten des ATP-Reports sind die Ergebnisse der detaillierten Analysen aufgelistet.

ATP-Sandbox-Analyse in neuem Gewand

Zusätzlich zur Überarbeitung des ATP-Reports erhielt die Sandbox mit dem neusten Update viele Verbesserungen. Unter anderem werden nun alle 64-Bit-Anwendungen vollständig analysiert. Zudem überarbeiteten die Hornetsecurity-Spezialisten das Bewertungssystem und pflegten neue Signaturen zur Verhaltensweise von Viren ein.

Auch die statische Analyse erweiterten sie durch verbesserte Parsing-Mechanismen für JavaScript in PDF-Dateien. Außerdem wurden wesentliche Verbesserungen an der Infrastruktur durchgeführt und neue Sandbox-Systeme hinzugefügt, um die Leistung und den Durchsatz der Analysen erheblich zu steigern.  

 

Kontinuierliche Weiterentwicklung

Das Security Lab von Hornetsecurity arbeitet kontinuierlich an der Verbesserung der Sandbox, damit die Sandbox auch die neuesten und raffiniertesten Bedrohungen findet.

Um jederzeit auf neue Angriffe reagieren zu können, werden die bestehenden Virensignaturen verbessert und neue Signaturen hinzugefügt. Zudem lassen sich die Mitschnitte des Netzwerkverkehrs und des allgemeinen Verhaltens dafür verwenden, generelle Regeln abzuleiten, mit deren Hilfe auch neuartige Malware zu erkennen sind.