+49 (0) 8171/405-0 info@proSoft.de

Gefährliche Sandkasten-Spiele: Warum Sandboxing nicht mehr ausreicht

10.
Sep
2020
MetaDefender, OPSWAT, Sandbox, Sandboxing

Per Sandboxing werden potenziell gefährliche Dateien in einer speziellen, abgeschotteten Umgebung geprüft. Doch Hacker und Cyber-Kriminelle haben sich jetzt darauf eingestellt und neue clevere Angriffsmethoden entwickelt.

Sandboxing galt vor einiger Zeit noch als einer der Königswege in der IT-Sicherheit. Die Idee dahinter ist grundsätzlich auch gut: Potenziell gefährliche Daten, Dokumente oder Anwendungen werden in einer speziellen Umgebung überprüft, bevor sie überhaupt das eigentliche Netzwerk und die Systemumgebung eines Unternehmens oder einer Organisation erreichen. Die jeweilige Datei „denkt“ also, sie befände sich bereits auf dem jeweiligen Endsystem – und es kann gefahrlos beobachtet werden, wie sie sich beim Öffnen oder Ausführen verhält.

Soweit, so gut. Doch der Ruf des Sandboxings hat deutliche Risse bekommen. Man könnte sogar sagen, die Sandkasten-Liebe ist erkaltet. Das Problem: Auch Malware wird bekanntermaßen kontinuierlich weiterentwickelt und verfeinert. Und immer häufiger führt dies dazu, dass Sandboxing keine echte Hürde mehr für Trojaner, Viren oder sonstigen Schadcode darstellt.

Die Tricks der Hacker sind vielfältig

Die Vorgehensweise der Cyber-Kriminellen, die wahre Meister im Tarnen, Täuschen und Tricksen sind, ist dabei unterschiedlich. Ein Weg ist beispielsweise, Malware so aufzuteilen beziehungsweise zu fragmentieren, dass mehrere Pakete entstehen, die jedes für sich ungefährlich erscheinen. Diese werden durch die Sandbox „geschleust“, ohne dort aufzufallen, und erst anschließend im Realnetzwerk wieder zusammengefügt und ausgeführt.

Ursachen von Pannen beim Datentransfer

 

Malware kann jetzt erkennen, dass sie innerhalb einer Sandbox ausgeführt wird

Eine andere Möglichkeit, der Enttarnung in der Sandbox zu entgehen: Immer intelligentere Malware erkennt gewissermaßen, ob sie sich gerade in einer Sandbox-Umgebung befindet – und verhält sich dann unauffällig. Dies reicht so weit, dass etwa anhand bestimmter Merkmale geprüft wird, ob es sich möglicherweise um eine Sandbox handelt.

„Schlafmodus“ schützt vor Entdeckung

In eine ähnliche Richtung zielt eine verzögerte Ausführung der Malware ab: Die Schadsoftware geht für einen gewissen Zeitraum, der typischerweise für eine Sandbox-Analyse anfällt, in eine Art „Schlafmodus“ und „erwacht“ erst wieder, wenn die Chancen relativ gut stehen, die Prüfung bereits unentdeckt passiert zu haben. Und auch der Einsatz passwortverschlüsselter Dateianhänge, die in der Sandbox selbst nicht automatisiert geöffnet werden können, ist eine Möglichkeit – eine Methode, die in der Praxis von Kriminellen hauptsächlich bei Phishing E-Mails verwendet wird.

Mehr Sicherheit durch Datei-Desinfektion

Auch wenn Sandboxing etwa zur Abwehr von Zero-Day-Angriffen weiterhin seine Berechtigung hat: Statt primär darauf zu setzen, müssen sich Unternehmen und Organisationen insgesamt mit einer vielschichtigen Gefahrenabwehr auseinandersetzen. Ein Weg, von den Abwehr- und Filter-Technologien verschiedener Hersteller gleichzeitig zu profitieren, ist dabei der Einsatz einer sogenannten Datei-Desinfektion. Das Prinzip dahinter: Gefährliche Dateitypen mit hohem Risikopotential werden in harmlose Dateitypen umgewandelt. Damit werden auch noch unbekannte Viren Signaturen, die beispielsweise Zero-Day Attacken so gefährlich machen, erkannt und zuverlässig desinfiziert. Diese Lösung kann stand-alone oder zusätzlich in Kombination mit einem Anti-Malware Multiscanner kombiniert werden. Dieser erzeugt ein besonders engmaschiges Sicherheitsnetz – ein Virus oder ein Trojaner, der von einem Scanner möglicherweise (noch) nicht erkannt wird und deshalb durchrutschen würde, wird vom zweiten oder dritten Scanner zuverlässig detektiert. Die Anti-Malware Multiscanner Lösung des Anbieters OPSWAT beispielsweise ermöglicht hier den Einsatz von bis zu 35 Anti-Viren-Scannern parallel.

Fazit: Der Blick auf das Thema Sandboxing verdeutlicht einen wichtigen Aspekt innerhalb der IT-Security einmal mehr: Man sollte sich bei der Malware-Abwehr nach Möglichkeit nie auf eine einzige Methode verlassen. Denn zu vielfältig und letztlich auch zu clever sind mittlerweile die verwendeten Techniken und die Methoden, die hinter der Verbreitung von Malware stehen. Mit einer Multiscanning-Lösung und Datei-Desinfektion können Unternehmen, Organisationen und Behörden deshalb für ein deutlich höheres Sicherheitsniveau sorgen. Denn dank mehrerer Scan-Engines wird es selbst für komplexe Malware irgendwann schwierig bis nahezu unmöglich, doch noch irgendwo ein Schlupfloch zu finden.

Erkennungsraten größer 99,7 %, die nur durch den parallelen Einsatz von über 20 AV-Engines überhaupt möglich sind, bieten noch keine 100 %-ige Sicherheit. In Kombination mit Datei-Desinfektion werden auch Zero-Day Attacken und die neuesten Malware-Technologien zuverlässig gestoppt.

Inzwischen hat der Hersteller OPSWAT ebenfalls eine eigene Sandbox entwickelt und nach eigener Aussage die Schwachstellen in traditionellen Sandboxen umgangen. OPSWAT Sandbox

 

Große #Microsoft Störung Deutsche beklagen massenhaft Ausfälle bei #Teams und #Outlook https://t.co/2tMfZbMR5m https://t.co/1776PfXt1x
Zunehmende Cyberkriminalität – Welche Gegenmaßnahmen helfen wirklich? https://t.co/kA0sIJ10PM #cyberangriff #cyberdefense #itsicherheit https://t.co/tp1RBM4pTE
Cyberkriminelle verschaffen sich Zugang zu Sky-Kundenkonten https://t.co/mPtWKobNG5 #Sky https://t.co/M1nU038UeZ
Fernwartungs-Software mit SSL & TLS für mehr Sicherheit https://t.co/TcT8IP2OVA #NetSupport
#Fernwartung https://t.co/NAj203kh9V
Dortmunder Datenpanne – Personenbezogene Daten im Lost Place #Dortmund #LostPlace https://t.co/UNuaJhaNiy https://t.co/brjrrE564g
Nach drohender #Cyberattacke reagierte die Stadt #Potsdam mit dem Abschalten der Internetverbindungen. Nach umfangreichen Sicherheits-Checks geht es nun weiter. https://t.co/skdKzbND3N https://t.co/KNa6jgL6Kp
Hacker versuchen #Ionos Passwörter zu phishen https://t.co/lqTDa8v0Hf
Handelsblatt: „Kaum zu bewältigen“: Neue EU-Richtlinie für Cybersicherheit setzt Unternehmen unter Zeitdruck - https://t.co/GVPGf4jXsC
Attacken auf kritische Lücke in ManageEngine-Produkte von Zoho bald möglich | Security https://t.co/HqRLyjtDW3
@heisec: Industrie-Router von InHand: Angreifer könnten Geräte in der Cloud übernehmen https://t.co/DEy74bF6wh #InHand #InRouter
Cyber-Attacken auf kritische Lücke in Control Web Panel | Security https://t.co/XW83hKUc8F
Fahrradbauer #Prophete: Erste Details zum Cyber-Angriff | Die Insolvenz der Prophete-Gruppe wurde schlussendlich durch einen Cyber-Angriff ausgelöst. Security https://t.co/IrjyYFWjJu
So schützt die #OPSWAT MetaDefender-Plattform vor Cyberangriffen https://t.co/m1Yo1jA7WQ
Sicherheitsprüfung: 13.000 Passwörter der US-Regierung in 90 Minuten geknackt. Weil Mitarbeiter des US-Innenministeriums leicht zu erratene Kennwörter wie Password-1234 nutzen, könnten Angreifer leichtes Spiel haben. https://t.co/R9S2L77pnK https://t.co/QcqGLwTIO4
@heisec: 90 Tage Zeit: Erweiterter Support für Exchange Server 2013 endet https://t.co/M2HQl8QEV3 #Supportende #ExchangeServer2013
Kritische #Sicherheitslücke bedroht End-of-Life-Router von #Cisco | Security https://t.co/YwgztmM0QE
Jetzt aktualisieren! #Sicherheitslücke in #SugarCRM wird ausgenutzt | Security https://t.co/rQcYSVpax4
@heisec: DDoS-Angriffe: Webseiten dänischer Zentralbank und von Privatbanken lahmgelegt https://t.co/SdkzMChY8F #DDoS #DänischeBanken

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This