2024.09.29. 06:00
A sandbox nem helyettesíti a víruskeresőt
Az automatikus sandbox-szolgáltatásokat nem szabad „víruskeresőként” kezelni a minták rosszindulatúságának megállapítására. Nem ez a rendeltetésük, és rosszul teljesítenek ebben a szerepkörben.
Forrás: Shutterstock
Fotó: MAYA LAB
A kártevők viselkedését elemző G Data szakértője, Karsten Hahn azt mondja, hogy egy sandbox (homokozó) nem tudja önmagában eldönteni, hogy egy minta valóban rosszindulatú-e. A sandboxrendszerek gyakran nem tartalmazzák a teljes környezetet, és rosszindulatúként címkézik fel a viselkedést, amely a legitim fájlokban is előfordul. Ezt túlzott magabiztossággal teszik, mert a víruskereső szoftverekkel ellentétben a tévedésnek nincsenek súlyos következményei.
Ahelyett, hogy a sandboxok „rosszindulatúnak” címkézik ezeket a mintákat, jobb lenne, ha inkább az „érdekes” jelzőt használnák. Példa erre, ha egy játék végrehajtható fájljait billentyűnaplózóként jelölik meg, mert ezeknek be kell olvasniuk azokat a leütéseket, amelyek lehetővé teszik számukra a karakterek vezérlését a játékban. Elemzőként mindig az a kérdés, hogy ez elvárt viselkedés egy ilyen alkalmazásnál, vagy eltér a megszokottól?
A sandbox jelentésekben szereplő számos következtetés szintén korlátozott értékű. Az igazán fontos ilyenkor annak megértése, hogy miért vonták le ezeket a következtetéseket, és milyen adatok támasztják alá őket. A „játék”-példát ismét felhasználva több mutatóból is levonható a „billentyűleütések naplózása” következtetés:
- olyan karakterláncokat tartalmaz, amelyeket jellemzően a billentyűzetfigyelők rögzíteni szoktak, például “[ENTER]”,
- olyan importokat tartalmaz, amelyek a billentyűleütések figyelésére használhatók,
- a minta olyan API-kat hív meg, amelyek a billentyűleütések felismeréséhez kapcsolódnak,
- a mintában ismert, rosszindulatú keylogger kódmintája található,
- a mintát az antivírus szkennerek keyloggerként észlelik,
- a mintának van egy hibakeresési útvonala, amely tartalmazza a „keylogger” szót,
- a minta kidobott egy billentyűleütéseket tartalmazó fájlt a sandbox futtatása során.
Hibára hajlamos minták
Néhány példa, amely általában helytelen ítéletekhez vezet az automatikus sandbox rendszerekben:
- Olyan programok, amelyek nem futnak, mert előzetes beállítást igényelnek (vagy hiányoznak a sandbox-rendszer egyéb környezeti elemei) – a sandbox-rendszerek ezekben az esetekben nem tudnak sok hasznos információt kinyerni.
- Az anti-sandbox technikák miatt nem futó rosszindulatú programok tisztának tűnhetnek.
- Számítógép-javító szoftver, amely töröl, lekérdez, módosít bizonyos rendszerleíró kulcsokat és fájlokat – ez a viselkedés kontextusból kiragadva gyanúsnak tűnhet.
- Biztonsági mentést végző szoftver, mivel viselkedése a zsarolóprogramokhoz hasonlít (nagyszámú fájlt módosít, és gyakran más néven menti el ezeket).
- Tisztítsa meg a virtuális gépeket észlelő programokat – mivel a virtuálisgép-ellenes technikák jelenléte gyakran elegendő ahhoz, hogy rosszindulatúnak ítéljenek meg egy fájlt.
- Olyan szoftver, amely védelmi mechanizmusokat alkalmaz, mivel ezek rosszindulatú programnak vagy elrejtési technikáknak tekinthetők.
- Olyan programok, amelyek eltávolítják a víruskereső szoftvereket, mivel összetéveszthetők a vírusvédelmet letiltó rosszindulatú programokkal.
Potenciálisan nemkívánatos programok (PUP) – a sandbox rendszerek gyakran nem tesznek különbséget a PUP és a rosszindulatú programok között, és ugyanazt jelzik.
Víruskeresők a homokozóban
Az automatikus sandbox rendszerek gyakran támaszkodnak a vírusvédelem észlelési arányaira, mint az általános pontszámuk fő tényezőjére. Gyakran ugyanazokat a jellemzőket értékelik, amelyek kezdetben befolyásolták a víruskeresők döntését.
Mindez nem könnyen beállítható, mert a víruskereső rendszerek fekete dobozok. A sandbox rendszerek nem tudják pontosan felmérni, hogy mikor rendelnek túl nagy súlyt bizonyos viselkedésekhez vagy indikátorokhoz, azért mert a víruskereső már használta őket, és nem tudják finomhangolni a saját viselkedésüket. A víruskeresők riasztási aránya inkább jelent megoldást a nem észlelt minták kezelésére.
Amiben ezek a sandbox-rendszerek kiválóak, az az osztályozás – a mutatók és a további elemzésre érdemes pontok listája összeállítása. Ezek azonban szakértők által használható rendszerek, ellentétben a víruskeresőkkel, amelyek a rosszindulatúság megállapításának elsődleges – nem szakértői – módszerei.
Az elfogultság elleni küzdelem
Kívánatos lenne, hogy az automatikus sandboxig rendszerek felhagynának azzal, hogy úgy tesznek, mintha a pontszámuknak valódi jelentősége lenne, és ehelyett rendszereiket azokra a szakértőkre szabnák, akiknek szükségük van rájuk – ahelyett, hogy a víruskeresők helyettesítőjeként reklámoznák magukat.
Sajnos azonban a sandbox-szállítók számára a nem szakértők szélesebb közönségének bevonása logikus üzleti szempontból, így ez valószínűleg nem fog változni.
Reálisabb kívánság a sandbox gyártókkal szemben a pontozás bevezetése, és az ítéletek és a következtetések letiltása. A nagy piros figyelmeztető színek és a „rosszindulatú” jelzőfények elfogultságot eredményeznek a rosszindulatú programok elemzőiben, különösen azokban, akik újak a területen. De még a tapasztaltabb elemzők esetében sem szabad alábecsülni a hatást.
Digitália
- Mi a teendő, ha a telefonját elveszti vagy ellopják?
- Hologram segítségével keresik a magyar szexmunkásnő gyilkosát (videó)
- Saját halálos mellrákját kezelte (sikeresen) egy tudós vírusterápiával
- A világ legkelendőbb telefonja: kitalálja, melyik az?
- Hazai tervezésű pilóta nélküli légijármű forradalmasítja a tisztítástechnológiát