F

Die Anti-Sandbox-Malware, die es auf die Sicherheit der Sandbox abgesehen hat

Eine Sandbox soll die Sicherheit geschäftskritischer Daten erhöhen. Neue Malware wie Sazoora B. greift jetzt gezielt solche Sandboxes an.

Eine neue Malware-Variante hat die sich im Unternehmensnetzwerk befindlichen Sandboxes bezwungen. Welche Bedeutung...

schenken Sie dieser Bedrohung? Sind Sandboxes nun weniger sicher?

Seit der Einführung so genannter Sandboxes gibt es zwischen Angreifern und Sandbox-Entwicklern ein Katz-und-Maus-Spiel. Malware wurde in diesem Zusammenhang positiv gewendet oft auch als Machbarkeits-Nachweis (Proof-of-Conzept) oder Exploit vorgestellt. Damit dieser Schadcode aber auch in der Realität wirksam ist, müssen Malware-Schreiber die Sandboxes verstehen und wissen, wie sie ihr Ziel trotz Sandbox erreichen. Je schwieriger es für Antimalware-Experten ist, Schadsoftware automatisch zu erkennen und zu adressieren, desto länger kann sich die entsprechende Malware in freier Wildbahn austoben. Das gilt aber natürlich grundsätzlich für alle Malware-Arten, egal ob bezogen auf Sandboxes oder beispielsweise auch auf die Netzwerkkommunikation.

Seculert hat im Oktober letzten Jahres einen Blog-Beitrag über die aktuelle Version der Sazoora-Malware geschrieben, genauer gesagt über Sazoora B. Sazoora B. ist in der Lage, Sandboxes auszuhebeln. Das Original, Sazoora, ist eine Browser-basierte Malware die Daten stiehlt, indem Cyberkriminelle schädlichen Code in Webseiten einbauen. Sazoora B. hingegen hat sich weiterentwickelt und macht eine Analyse schwieriger, indem die Ausführung dieser verzögert wird,  um automatisch durchgeführte Analyse zu verlangsamen.

In vielen Fällen liefern Systeme eine E-Mail erst dann aus oder verbinden sich mit einer Webseite, wenn eine bestimmte Datei die Sandbox erfolgreich verlassen hat. Nehmen wir an, die Ausführung wird 15 Minuten lang hinausgezögert. Die Malware-Analysen des Ziels könnte somit in einen Timeout laufen und der Schadcode erreicht trotz Sandbox das lokale System. Die Ursache für dieses Problem liegt möglicherweise bei der Konfiguration, wenn zum Beispiel E-Mails oder Verbindungen verworfen werden, die nicht innerhalb eines speziellen Zeitrahmens ausgeführt werden. Das hängt dabei nicht davon ab, ob es sich um eine lokale oder um eine Remote Sandbox handelt. Vielmehr geht es darum, wie umfangreich die Analyse ist und mit welcher Security-Policy das Unternehmen die Systeme konfiguriert hat. Anders gefragt: Wie lange wartet das System, bis es die Datei an das Endgerät ausliefert? Wenn Sie eine ausgelagerte oder Cloud-basierte Sandbox verwenden, dann stehen dort vielleicht mehr dedizierte Ressourcen für eine Malware-Analyse zur Verfügung. Ist diesem Fall erhöht sich logischerweise auch der Schutz für das Unternehmen.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juli 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Malware, Viren, Trojaner und Spyware

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close