Gefährliche Sandkasten-Spiele: Warum Sandboxing nicht mehr ausreicht

Sandboxing galt vor einiger Zeit noch als einer der Königswege in der IT-Sicherheit. Die Idee dahinter ist grundsätzlich auch gut: Potenziell gefährliche Daten, Dokumente oder Anwendungen werden in einer speziellen Umgebung überprüft, bevor sie überhaupt das eigentliche Netzwerk und die Systemumgebung eines Unternehmens oder einer Organisation erreichen. Die jeweilige Datei „denkt“ also, sie befände sich bereits auf dem jeweiligen Endsystem – und es kann gefahrlos beobachtet werden, wie sie sich beim Öffnen oder Ausführen verhält.

Soweit, so gut. Doch der Ruf des Sandboxings hat deutliche Risse bekommen. Man könnte sogar sagen, die Sandkasten-Liebe ist erkaltet. Das Problem: Auch Malware wird bekanntermaßen kontinuierlich weiterentwickelt und verfeinert. Und immer häufiger führt dies dazu, dass Sandboxing keine echte Hürde mehr für Trojaner, Viren oder sonstigen Schadcode darstellt.

Die Tricks der Hacker sind vielfältig

Die Vorgehensweise der Cyber-Kriminellen, die wahre Meister im Tarnen, Täuschen und Tricksen sind, ist dabei unterschiedlich. Ein Weg ist beispielsweise, Malware so aufzuteilen beziehungsweise zu fragmentieren, dass mehrere Pakete entstehen, die jedes für sich ungefährlich erscheinen. Diese werden durch die Sandbox „geschleust“, ohne dort aufzufallen, und erst anschließend im Realnetzwerk wieder zusammengefügt und ausgeführt.

Malware kann jetzt erkennen, dass sie innerhalb einer Sandbox ausgeführt wird

Eine andere Möglichkeit, der Enttarnung in der Sandbox zu entgehen: Immer intelligentere Malware erkennt gewissermaßen, ob sie sich gerade in einer Sandbox-Umgebung befindet – und verhält sich dann unauffällig. Dies reicht so weit, dass etwa anhand bestimmter Merkmale geprüft wird, ob es sich möglicherweise um eine Sandbox handelt.

„Schlafmodus“ schützt vor Entdeckung

In eine ähnliche Richtung zielt eine verzögerte Ausführung der Malware ab: Die Schadsoftware geht für einen gewissen Zeitraum, der typischerweise für eine Sandbox-Analyse anfällt, in eine Art „Schlafmodus“ und „erwacht“ erst wieder, wenn die Chancen relativ gut stehen, die Prüfung bereits unentdeckt passiert zu haben. Und auch der Einsatz passwortverschlüsselter Dateianhänge, die in der Sandbox selbst nicht automatisiert geöffnet werden können, ist eine Möglichkeit – eine Methode, die in der Praxis von Kriminellen hauptsächlich bei Phishing E-Mails verwendet wird.

Mehr Sicherheit durch Datei-Desinfektion

Auch wenn Sandboxing etwa zur Abwehr von Zero-Day-Angriffen weiterhin seine Berechtigung hat: Statt primär darauf zu setzen, müssen sich Unternehmen und Organisationen insgesamt mit einer vielschichtigen Gefahrenabwehr auseinandersetzen. Ein Weg, von den Abwehr- und Filter-Technologien verschiedener Hersteller gleichzeitig zu profitieren, ist dabei der Einsatz einer sogenannten Datei-Desinfektion. Das Prinzip dahinter: Gefährliche Dateitypen mit hohem Risikopotential werden in harmlose Dateitypen umgewandelt. Damit werden auch noch unbekannte Viren Signaturen, die beispielsweise Zero-Day Attacken so gefährlich machen, erkannt und zuverlässig desinfiziert. Diese Lösung kann stand-alone oder zusätzlich in Kombination mit einem Anti-Malware Multiscanner kombiniert werden. Dieser erzeugt ein besonders engmaschiges Sicherheitsnetz – ein Virus oder ein Trojaner, der von einem Scanner möglicherweise (noch) nicht erkannt wird und deshalb durchrutschen würde, wird vom zweiten oder dritten Scanner zuverlässig detektiert. Die Anti-Malware Multiscanner Lösung des Anbieters OPSWAT beispielsweise ermöglicht hier den Einsatz von bis zu 35 Anti-Viren-Scannern parallel.

Fazit: Der Blick auf das Thema Sandboxing verdeutlicht einen wichtigen Aspekt innerhalb der IT-Security einmal mehr: Man sollte sich bei der Malware-Abwehr nach Möglichkeit nie auf eine einzige Methode verlassen. Denn zu vielfältig und letztlich auch zu clever sind mittlerweile die verwendeten Techniken und die Methoden, die hinter der Verbreitung von Malware stehen. Mit einer Multiscanning-Lösung und Datei-Desinfektion können Unternehmen, Organisationen und Behörden deshalb für ein deutlich höheres Sicherheitsniveau sorgen. Denn dank mehrerer Scan-Engines wird es selbst für komplexe Malware irgendwann schwierig bis nahezu unmöglich, doch noch irgendwo ein Schlupfloch zu finden.

Erkennungsraten größer 99,7 %, die nur durch den parallelen Einsatz von über 20 AV-Engines überhaupt möglich sind, bieten noch keine 100 %-ige Sicherheit. In Kombination mit Datei-Desinfektion werden auch Zero-Day Attacken und die neuesten Malware-Technologien zuverlässig gestoppt.

Inzwischen hat der Hersteller OPSWAT ebenfalls eine eigene Sandbox entwickelt und nach eigener Aussage die Schwachstellen in traditionellen Sandboxen umgangen. OPSWAT Sandbox