+49 (0) 8171/405-0 info@proSoft.de

Gefährliche Sandkasten-Spiele: Warum Sandboxing nicht mehr ausreicht

10.
Sep
2020
MetaDefender, OPSWAT, Sandbox, Sandboxing

Per Sandboxing werden potenziell gefährliche Dateien in einer speziellen, abgeschotteten Umgebung geprüft. Doch Hacker und Cyber-Kriminelle haben sich jetzt darauf eingestellt und neue clevere Angriffsmethoden entwickelt.

Sandboxing galt vor einiger Zeit noch als einer der Königswege in der IT-Sicherheit. Die Idee dahinter ist grundsätzlich auch gut: Potenziell gefährliche Daten, Dokumente oder Anwendungen werden in einer speziellen Umgebung überprüft, bevor sie überhaupt das eigentliche Netzwerk und die Systemumgebung eines Unternehmens oder einer Organisation erreichen. Die jeweilige Datei „denkt“ also, sie befände sich bereits auf dem jeweiligen Endsystem – und es kann gefahrlos beobachtet werden, wie sie sich beim Öffnen oder Ausführen verhält.

Soweit, so gut. Doch der Ruf des Sandboxings hat deutliche Risse bekommen. Man könnte sogar sagen, die Sandkasten-Liebe ist erkaltet. Das Problem: Auch Malware wird bekanntermaßen kontinuierlich weiterentwickelt und verfeinert. Und immer häufiger führt dies dazu, dass Sandboxing keine echte Hürde mehr für Trojaner, Viren oder sonstigen Schadcode darstellt.

Die Tricks der Hacker sind vielfältig

Die Vorgehensweise der Cyber-Kriminellen, die wahre Meister im Tarnen, Täuschen und Tricksen sind, ist dabei unterschiedlich. Ein Weg ist beispielsweise, Malware so aufzuteilen beziehungsweise zu fragmentieren, dass mehrere Pakete entstehen, die jedes für sich ungefährlich erscheinen. Diese werden durch die Sandbox „geschleust“, ohne dort aufzufallen, und erst anschließend im Realnetzwerk wieder zusammengefügt und ausgeführt.

Ursachen von Pannen beim Datentransfer

 

Malware kann jetzt erkennen, dass sie innerhalb einer Sandbox ausgeführt wird

Eine andere Möglichkeit, der Enttarnung in der Sandbox zu entgehen: Immer intelligentere Malware erkennt gewissermaßen, ob sie sich gerade in einer Sandbox-Umgebung befindet – und verhält sich dann unauffällig. Dies reicht so weit, dass etwa anhand bestimmter Merkmale geprüft wird, ob es sich möglicherweise um eine Sandbox handelt.

„Schlafmodus“ schützt vor Entdeckung

In eine ähnliche Richtung zielt eine verzögerte Ausführung der Malware ab: Die Schadsoftware geht für einen gewissen Zeitraum, der typischerweise für eine Sandbox-Analyse anfällt, in eine Art „Schlafmodus“ und „erwacht“ erst wieder, wenn die Chancen relativ gut stehen, die Prüfung bereits unentdeckt passiert zu haben. Und auch der Einsatz passwortverschlüsselter Dateianhänge, die in der Sandbox selbst nicht automatisiert geöffnet werden können, ist eine Möglichkeit – eine Methode, die in der Praxis von Kriminellen hauptsächlich bei Phishing E-Mails verwendet wird.

Mehr Sicherheit durch Datei-Desinfektion

Auch wenn Sandboxing etwa zur Abwehr von Zero-Day-Angriffen weiterhin seine Berechtigung hat: Statt primär darauf zu setzen, müssen sich Unternehmen und Organisationen insgesamt mit einer vielschichtigen Gefahrenabwehr auseinandersetzen. Ein Weg, von den Abwehr- und Filter-Technologien verschiedener Hersteller gleichzeitig zu profitieren, ist dabei der Einsatz einer sogenannten Datei-Desinfektion. Das Prinzip dahinter: Gefährliche Dateitypen mit hohem Risikopotential werden in harmlose Dateitypen umgewandelt. Damit werden auch noch unbekannte Viren Signaturen, die beispielsweise Zero-Day Attacken so gefährlich machen, erkannt und zuverlässig desinfiziert. Diese Lösung kann stand-alone oder zusätzlich in Kombination mit einem Anti-Malware Multiscanner kombiniert werden. Dieser erzeugt ein besonders engmaschiges Sicherheitsnetz – ein Virus oder ein Trojaner, der von einem Scanner möglicherweise (noch) nicht erkannt wird und deshalb durchrutschen würde, wird vom zweiten oder dritten Scanner zuverlässig detektiert. Die Anti-Malware Multiscanner Lösung des Anbieters OPSWAT beispielsweise ermöglicht hier den Einsatz von bis zu 35 Anti-Viren-Scannern parallel.

Fazit: Der Blick auf das Thema Sandboxing verdeutlicht einen wichtigen Aspekt innerhalb der IT-Security einmal mehr: Man sollte sich bei der Malware-Abwehr nach Möglichkeit nie auf eine einzige Methode verlassen. Denn zu vielfältig und letztlich auch zu clever sind mittlerweile die verwendeten Techniken und die Methoden, die hinter der Verbreitung von Malware stehen. Mit einer Multiscanning-Lösung und Datei-Desinfektion können Unternehmen, Organisationen und Behörden deshalb für ein deutlich höheres Sicherheitsniveau sorgen. Denn dank mehrerer Scan-Engines wird es selbst für komplexe Malware irgendwann schwierig bis nahezu unmöglich, doch noch irgendwo ein Schlupfloch zu finden.

Erkennungsraten größer 99,7 %, die nur durch den parallelen Einsatz von über 20 AV-Engines überhaupt möglich sind, bieten noch keine 100 %-ige Sicherheit. In Kombination mit Datei-Desinfektion werden auch Zero-Day Attacken und die neuesten Malware-Technologien zuverlässig gestoppt.

Inzwischen hat der Hersteller OPSWAT ebenfalls eine eigene Sandbox entwickelt und nach eigener Aussage die Schwachstellen in traditionellen Sandboxen umgangen. OPSWAT Sandbox

 

Pressemeldung über neue Funktionen in der PC-Fernwartung NetSupport Manager v14 https://t.co/lsqA3Wxyqh #NetSupport https://t.co/fMccbhQWAr
Exchange-Server Zero-Day: Bisheriger Workaround unzureichend | Security https://t.co/60oqR0imqh
Katholische DSK lässt Einwilligung in schlechtere ToMs zu #§91 https://t.co/RJuPY0KsYM https://t.co/kJ0DlWDY8Y
Steganografie - immer noch zu wenig bekannt
Aktuelles Beispiel: Backdoor in Windows-Logo für Angriff auf Regierungen versteckt
https://t.co/rZbmAGjBMx #windows #logo #steganografie #backdoor https://t.co/mFXDPSkmUD
Datenverschlüsselung durch eingeschleuste Software
#Hackerangriff auf katholischen Sozialdienstleister #SKM
https://t.co/PoLU0jr6cp https://t.co/Xv8f1qjSm3
Report: 3,5 % der Ransomware-Schwachstellen werden nicht erkannt https://t.co/rNy1olSHsi https://t.co/nw5AFKQ7wD
#ransomware Nach Verschlüsseln kommt jetzt Kopieren & Zerstören. Verschlüsseln ist aufwendig und fehleranfällig https://t.co/zR40zqRC28 https://t.co/pzvTpAbNRa
@heisec: Malware: Infektion durch Mausbewegung in Powerpoint https://t.co/r5aVTZnntp #FancyBear #PowerpointMalware
@heisec: Webbrowser Chrome 106: Neue Funktionen und 20 abgedichtete Sicherheitslecks https://t.co/nNLklnMuLq #Chrome #Update
#Deutschland steht weltweit auf Platz 5 bei #Ransomware Angriffen: Welche Unternehmen sind am stärksten betroffen?https://t.co/fJ4NFB8L8C https://t.co/vdojRcYfY6
@BSI_Bund: Das @BMBF_Bund bietet ein Themenblatt für die IT-Sicherheitsinhalte der Jahre 2021/2022 aus den Förderprogrammen #HorizonEurope & #DigitalEurope an https://t.co/QK0gCDh8jM
Zu den Zielgruppen zählen Industrie, #KMU, #StartUp|s und öffentlicher Sektor.
#DeutschlandDigitalSicherBSI
#Sophos Firewalls: Kritische Sicherheitslücke wird angegriffen. Sicherheitsupdates sind bereits verfügbar https://t.co/rnlLVv6dWT #Sicherheitslücke https://t.co/cThPYdz2P7
@BSI_Bund: Im Arbeitsalltag muss es oft schnell gehen. Eine Situation, die sich Cyber-Kriminelle vor allem in Sachen CEO-Fraud gern zu Nutze machen. Was hinter dieser Betrugsmasche steckt - wir erklären es euch. #DeutschlandDigitalSicherBSI #ITSicherheit #Sicherheit https://t.co/pDNGgHjbkr
#Russland plant laut ukrainischem Verteidigungsministerium massive Cyberangriffe auf kritische Infrastrukturen der Ukraine und Alliierter. https://t.co/zM63EmOvfh https://t.co/KeVzlVnvsM
@DSAgentur: Datenleck in Pinneberg: Tausende Menschen im Kreis betroffen https://t.co/Q7MN1sBhoU https://t.co/Dlcl1f3so0
PC-Fernwartung NetSupport Manager ist in der Version 14 verfügbar. https://t.co/rMMtNl5w0v https://t.co/cfAvG9vHKD
1574381493069250568
Angreifer könnten DNS-Server bind lahmlegen | Security https://t.co/EK3FdT1wdC
Brute-Force-Schutz: Microsoft aktiviert Anmeldebegrenzung für SMB | Security https://t.co/doaW3zLsK1
50.000 Kundendaten betroffen
Fintech-Startup #Revolut wurde gehackt https://t.co/6kw45ZDNzm https://t.co/WmzT6Fta0V

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This