+49 (0) 8171/405-0 info@proSoft.de

Gefährliche Sandkasten-Spiele: Warum Sandboxing nicht mehr ausreicht

10.
Sep
2020
MetaDefender, OPSWAT, Sandbox, Sandboxing

Per Sandboxing werden potenziell gefährliche Dateien in einer speziellen, abgeschotteten Umgebung geprüft. Doch Hacker und Cyber-Kriminelle haben sich jetzt darauf eingestellt und neue clevere Angriffsmethoden entwickelt.

Sandboxing galt vor einiger Zeit noch als einer der Königswege in der IT-Sicherheit. Die Idee dahinter ist grundsätzlich auch gut: Potenziell gefährliche Daten, Dokumente oder Anwendungen werden in einer speziellen Umgebung überprüft, bevor sie überhaupt das eigentliche Netzwerk und die Systemumgebung eines Unternehmens oder einer Organisation erreichen. Die jeweilige Datei „denkt“ also, sie befände sich bereits auf dem jeweiligen Endsystem – und es kann gefahrlos beobachtet werden, wie sie sich beim Öffnen oder Ausführen verhält.

Soweit, so gut. Doch der Ruf des Sandboxings hat deutliche Risse bekommen. Man könnte sogar sagen, die Sandkasten-Liebe ist erkaltet. Das Problem: Auch Malware wird bekanntermaßen kontinuierlich weiterentwickelt und verfeinert. Und immer häufiger führt dies dazu, dass Sandboxing keine echte Hürde mehr für Trojaner, Viren oder sonstigen Schadcode darstellt.

Die Tricks der Hacker sind vielfältig

Die Vorgehensweise der Cyber-Kriminellen, die wahre Meister im Tarnen, Täuschen und Tricksen sind, ist dabei unterschiedlich. Ein Weg ist beispielsweise, Malware so aufzuteilen beziehungsweise zu fragmentieren, dass mehrere Pakete entstehen, die jedes für sich ungefährlich erscheinen. Diese werden durch die Sandbox „geschleust“, ohne dort aufzufallen, und erst anschließend im Realnetzwerk wieder zusammengefügt und ausgeführt.

Ursachen von Pannen beim Datentransfer

 

Malware kann jetzt erkennen, dass sie innerhalb einer Sandbox ausgeführt wird

Eine andere Möglichkeit, der Enttarnung in der Sandbox zu entgehen: Immer intelligentere Malware erkennt gewissermaßen, ob sie sich gerade in einer Sandbox-Umgebung befindet – und verhält sich dann unauffällig. Dies reicht so weit, dass etwa anhand bestimmter Merkmale geprüft wird, ob es sich möglicherweise um eine Sandbox handelt.

„Schlafmodus“ schützt vor Entdeckung

In eine ähnliche Richtung zielt eine verzögerte Ausführung der Malware ab: Die Schadsoftware geht für einen gewissen Zeitraum, der typischerweise für eine Sandbox-Analyse anfällt, in eine Art „Schlafmodus“ und „erwacht“ erst wieder, wenn die Chancen relativ gut stehen, die Prüfung bereits unentdeckt passiert zu haben. Und auch der Einsatz passwortverschlüsselter Dateianhänge, die in der Sandbox selbst nicht automatisiert geöffnet werden können, ist eine Möglichkeit – eine Methode, die in der Praxis von Kriminellen hauptsächlich bei Phishing E-Mails verwendet wird.

Mehr Sicherheit durch Datei-Desinfektion

Auch wenn Sandboxing etwa zur Abwehr von Zero-Day-Angriffen weiterhin seine Berechtigung hat: Statt primär darauf zu setzen, müssen sich Unternehmen und Organisationen insgesamt mit einer vielschichtigen Gefahrenabwehr auseinandersetzen. Ein Weg, von den Abwehr- und Filter-Technologien verschiedener Hersteller gleichzeitig zu profitieren, ist dabei der Einsatz einer sogenannten Datei-Desinfektion. Das Prinzip dahinter: Gefährliche Dateitypen mit hohem Risikopotential werden in harmlose Dateitypen umgewandelt. Damit werden auch noch unbekannte Viren Signaturen, die beispielsweise Zero-Day Attacken so gefährlich machen, erkannt und zuverlässig desinfiziert. Diese Lösung kann stand-alone oder zusätzlich in Kombination mit einem Anti-Malware Multiscanner kombiniert werden. Dieser erzeugt ein besonders engmaschiges Sicherheitsnetz – ein Virus oder ein Trojaner, der von einem Scanner möglicherweise (noch) nicht erkannt wird und deshalb durchrutschen würde, wird vom zweiten oder dritten Scanner zuverlässig detektiert. Die Anti-Malware Multiscanner Lösung des Anbieters OPSWAT beispielsweise ermöglicht hier den Einsatz von bis zu 35 Anti-Viren-Scannern parallel.

Fazit: Der Blick auf das Thema Sandboxing verdeutlicht einen wichtigen Aspekt innerhalb der IT-Security einmal mehr: Man sollte sich bei der Malware-Abwehr nach Möglichkeit nie auf eine einzige Methode verlassen. Denn zu vielfältig und letztlich auch zu clever sind mittlerweile die verwendeten Techniken und die Methoden, die hinter der Verbreitung von Malware stehen. Mit einer Multiscanning-Lösung und Datei-Desinfektion können Unternehmen, Organisationen und Behörden deshalb für ein deutlich höheres Sicherheitsniveau sorgen. Denn dank mehrerer Scan-Engines wird es selbst für komplexe Malware irgendwann schwierig bis nahezu unmöglich, doch noch irgendwo ein Schlupfloch zu finden.

Erkennungsraten größer 99,7 %, die nur durch den parallelen Einsatz von über 20 AV-Engines überhaupt möglich sind, bieten noch keine 100 %-ige Sicherheit. In Kombination mit Datei-Desinfektion werden auch Zero-Day Attacken und die neuesten Malware-Technologien zuverlässig gestoppt.

Inzwischen hat der Hersteller OPSWAT ebenfalls eine eigene Sandbox entwickelt und nach eigener Aussage die Schwachstellen in traditionellen Sandboxen umgangen. OPSWAT Sandbox

 

Chefredakteur und Geschäftsführer der ProSoft GmbH

Derweil auf

@OPSWAT: Defining, dissecting, and securing your data and web applications is central to a zero-trust policy. Download the report to get an overview of the Zero Trust Framework from Forrester: https://t.co/IZywWfLB61 https://t.co/AiHHOtL91x
@heisec: Sicherheitsupdates: Schadcode-Lücken in GPU-Treibern von Nvidia geschlossen https://t.co/8J4aKnLTdf #Nvidia #Sicherheitslücke
Neue Energieformen - neue Verwundbarkeiten #Cyberangriffe über Smart-Grid Technologien auf erneuerbare Energien #Windkraft #Solar https://t.co/fgv6SejGzJ
@heisec: Massive Angriffe auf Lücke in WordPress-Plug-in Tatsu Builder https://t.co/uyUXpXeB6z #WordPressTatsuBuilder #Cyberangriff
Studie zur Kommunikationssicherheit: 5 Tipps für sichere Kommunikation bei Webseiten https://t.co/KHVvzr8p5r #Internet https://t.co/j0g9atuMAm
1526820800300470274
@heisec: Sicherheitslücken in Sonicwall SMA 1000 und SSL-VPN erlauben unbefugten Zugriff https://t.co/5wor8hXQco #Sonicwall #Sicherheitsupdate
@heiseonline: Versicherer Hiscox: Cybercrime für deutsche Unternehmen besonders teuer https://t.co/7Zu8U3WFAe #Hiscox #Cybercrime
@BSI_Bund: 📫✉Jetzt im aktuellen Verbraucherschutz-Newsletter📫✉:

BSI: BKA meldet Rekorde bei Cybercrime-Delikten, Deepfakes werden immer beliebter & IT-Sicherheitskennzeichen jetzt auch für smarte Verbraucherprodukte.

https://t.co/pPloGBk3Vn

#DeutschlandDigitalSicherBSI https://t.co/gr9wvLY9kB
Impressionen von der #AFCEA Messe in Bonn. #ProSoft war dabei https://t.co/y7c7CixNvX
Patchday Microsoft: Windows-Schwachstelle attackiert - Domain-Controller updaten https://t.co/Ncnexm4I1L
@heisec: Jetzt patchen! F5 BIG-IP-Systeme werden aktiv angegriffen https://t.co/3mtqhyxkO6 #BIGIP #Angriffe
Enemybot: Neues #Botnet missbraucht Router und IoT-Geräte für DDoS-Angriffe https://t.co/4zLOaHfIqJ
@heisec: Nach Fehlalarm: Trend Micro gibt Tipps zur Reparatur https://t.co/9bnbsqRMcV #TrendMicroFehlalarm #Reparatur
BKA: Cyberkriminalität legt im Jahresvergleich um zwölf Prozent zu https://t.co/nsGQ6qlXG1 https://t.co/L3AyLAhZRq
Security von Prosoft sorgt für stabile OT-Systeme https://t.co/VQuruKXoPO
12 % aller Cyberangriffe erfolgen über #Ransomware Tendenz stark steigend! Im aktuellen ProSoft Blog zeigen wir, welche Strategie gegen Ransomware-Angriffe hilft https://t.co/tnieIQ0SqQ #itsecurity #Malware https://t.co/kDdy8tGTZw

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This