Signaturbasierende Systeme zur Abwehr von Malware sind modernen Bedrohungen nicht gewachsen. Aber auch die Antwort darauf – moderne Sandboxing-Techniken – können überlistet werden. Ist cloudbasierendes Sandboxing die Rettung? [...]
Der Markt für Schadsoftware wächst weiterhin. Wo große Nachfrage herrscht entwickelt sich auch das Angebot ständig weiter. Das hat dazu geführt, dass der traditionelle Sicherheitsansatz in den letzten Jahren an seine Grenzen gestoßen ist. Signaturbasierende Systeme wie Antiviren-Software oder Firewalls sind nicht länger in der Lage, den ausgefeilten Methoden moderner Bedrohungen stand zu halten.
Dies hat zu einer immer weiteren Verbreitung von Sandboxing-Techniken geführt. Dabei werden verdächtige Dateien erst einmal in einem isolierten Bereich – quasi einer „Sandkiste, in der sie sich gefahrlos austoben können – ausgeführt und untersucht. Diese Sandkiste hat keinerlei Verbindung zur restlichen Umgebung. Erweist sich die Datei dabei als Malware, etwa durch verdächtiges Verhalten, kann sie so trotzdem keinen Schaden an den Systemen anrichten.
Soweit die Theorie. Doch die Cyber-Kriminellen haben darauf bereits reagiert und ihre Software mit der Fähigkeit ausgestattet, das Sandboxing auszuhebeln. Dafür genügte es zunächst, den Schadcode einfach mit einer Zeitverzögerung auszustatten. Diese verhinderte, dass die Schadprogramme sofort ausgeführt werden, wodurch sie die Sandbox unerkannt passieren konnten. Die Antwort der Sicherheits-Anbieter: Sie versetzten ihre Systeme in die Lage, zeitverzögernde Parameter in Programmcodes zu erkennen.
Doch der Konter ließ nicht lange auf sich warten. Die neueste Malware ist immer häufiger in der Lage, Sandbox-Instanzen aufzuspüren. In letzter Zeit häufen sich die Fälle, in denen die Angreifer Sandbox-Umgebungen erkennen und dann deren Ressourcen mit schadfreier Software auslasten – um parallel ungestört ihre Malware absetzen zu können. Das Erschreckendste dabei: Auf Webseiten wie Pastebin.com finden sich mittlerweile Mustercodes für diese Methodik. Alles, was Cyber-Kriminelle tun müssen, ist ihn per Copy-and-Paste zu ihren eigenen Schadcodes hinzuzufügen.
Was tun? Den vielversprechendsten Ansatz zur Abwehr dieser Gefahren liefert dem Security-Unternehmen Websense zufolge das cloudbasierende Sandboxing. Zum einen ist es dynamisch skalierbar, so dass die Ressourcen – im Gegensatz zu entsprechenden Vor-Ort-Installationen – praktisch keine Grenze mehr darstellen. Zum anderen ermöglicht es dem Sicherheits-Anbieter, die Systeme konstant auf dem neuesten Stand zu halten und dadurch so gut es geht mit den Autoren der Schadsoftware Schritt zu halten.
„Die Verstärkung ihrer Sandboxing-Umgebung wird für Unternehmen angesichts der raffinierten Tricks von Cyber-Kriminellen immer wichtiger“, erläutert Michael Rudrich, Regional Director Central Europe & Eastern Europe bei Websense in München. „Die Cloud-Technologie bietet hier mit ihren ureigenen Stärken – hohe Skalierbarkeit und die Möglichkeit zur Echtzeit-Aktualisierung – die besten Voraussetzungen.“ (pi/rnf)
Be the first to comment