Mechanizmy typu sandbox są powszechnie stosowane do wykrywania złośliwego oprogramowania. Ich zasada działania jest prosta: podejrzany kod uruchamiany jest w maszynie wirtualnej, w której analizowana jest jego praca i rejestrowane zachowanie. Po pewnym czasie analiza jest zatrzymywana, a jej wynik jest badany i skanowany w poszukiwaniu wzorców złośliwego zachowania. Następnie wbudowany mechanizm lub człowiek podejmuje decyzję, czy rzeczywiście mamy do czynienia z prawdziwym zagrożeniem.

Ponieważ w trakcie tego procesu analizowane jest zachowanie kodu, sandbox może wykrywać nawet złośliwe oprogramowanie zero-day i ataki ukierunkowane. Na rynku dostępnych jest wiele tego typu rozwiązań, ale nie wszystkie radzą sobie dobrze z coraz bardziej udoskonalonymi metodami ataku, zaprojektowanymi tak, aby uniknąć wykrycia. Część systemów sandbox działa też bardzo powoli, przez co analiza potencjalnego zagrożenia trwa nieakceptowalnie długo.

Wykrywanie zagrożeń zanim zaatakują

Dzięki automatyzacji cyberprzestępcy zintensyfikowali swoje działania, przez co działy SOC miewają trudności z opanowaniem zalewu podejmowanych prób ataku z wykorzystaniem złośliwego oprogramowania. Ich pracę ułatwiają usługi wyposażone w moduł sandbox, jak VMRay Detector, które w pełni zautomatyzowany i szybki sposób są w stanie przetwarzać duże ilości kodu w poszukiwaniu złośliwego oprogramowania. Rozwiązanie to może być zintegrowane z innymi narzędziami ochronnymi i przyjmować od nich ogromne ilości danych. Są wśród nich bramy poczty elektronicznej i sieci web, oprogramowanie zabezpieczające dla urządzeń końcowych, mechanizmy ochronne systemów operacyjnych i inne.

VMRay Detector poddaje wszystkie te dane wieloetapowemu, w pełni zautomatyzowanemu procesowi detekcji z wykorzystaniem różnych technik. Nieszkodliwe treści są odpowiednio oznaczane, zaś podejrzane lub nieznane próbki są poddawane dalszej, dokładniejszej analizie. Jej wyniki mogą być wykorzystywane przez inne narzędzia ochronne w celu zautomatyzowania procesu podejmowania decyzji o zablokowaniu lub zezwoleniu na uruchomienie danego kodu. Tam, gdzie jest to uzasadnione, wyniki te mogą być dostępne dla zespołu CERT w celu przeprowadzenia głębszego dochodzenia i reagowania na incydenty.

Główne zalety rozwiązań VMRay  

 

  • Nowatorski mechanizm wykrywania złośliwego kodu, bardziej skuteczny niż inne platformy.
  • Automatyzacja wykrywania i analizy.
  • Zredukowana liczba fałszywych alarmów.
  • Duża skalowalność.
  • Współpraca z rozwiązaniami antyspamowymi i antyphishingowymi.
  • Możliwość wdrożenia w chmurze lub siedzibie firmy.
  

Moduł sandbox, będący podstawą działania VMRay Detector, zbudowany jest z wykorzystaniem unikalnego hyper-visora, dzięki czemu zminimalizowane jest odkrycie przez złośliwy kod, że został uruchomiony w celu przeprowadzenia jego analizy. Taktyka pracy tego rozwiązania została zbudowana na trzech filarach – Teraz, Wkrótce, Głębiej (Now, Near, Deep). Umożliwiło to zagwarantowanie usystematyzowanego podejścia do walki z zagrożeniami i jego automatyzację.

W trakcie etapu Teraz zapewniana jest szybka (trwająca milisekundy) weryfikacja reputacji potencjalnych zagrożeń na bazie różnych dostępnych źródeł – moduł wyszukiwania identyfikuje i odrzuca znane oraz niegroźne pliki czy adresy URL, zaś te złośliwe przekazuje do dalszej analizy. Etap Wkrótce oznacza, że w ciągu kilku sekund opatentowany przez VMRay mechanizm analizy statycznej sprawdzi znajdujące się w plikach skrypty, makra i inne aktywne elementy, które mogą wskazywać na zaplanowany wieloetapowy atak. Pliki, wobec których podejrzenia są utrzymane, przekazywane są do Głębokiej analizy – dochodzi do pełnego uruchomienia kodu w module sandbox w celu obserwacji jego zachowania.

Cel: znaleźć to, czego inni nie dostrzegają

VMRay Analyzer to kolejne przełomowe narzędzie, które ułatwia stawienie czoła najtrudniejszym wyzwaniom stojącym przed zespołami SOC i DFIR (Digital Forensics and Incident Response). Zapewnia ono dynamiczną analizę zaawansowanych zagrożeń, w tym ataków zero-day i ukierunkowanych. Dzięki wyeliminowaniu wad, które obecne są w innych tego typu produktach, VMRay Analyzer jest rozwiązaniem do analizy najczęściej wybieranym przez wiodące zespoły DFIR na całym świecie. Jednym z jego wyróżników jest to, że niemal całkowicie wyeliminowano liczbę fałszywych alarmów.

Rdzeniem VMRay Analyzer jest bezagentowy moduł sandbox X-Ray Vision, bazujący na hypervisorze, który w unikalny sposób gwarantuje niemal stuprocentowe wykrywanie ataków oraz pełny wgląd w mechanizm funkcjonowania złośliwego oprogramowania. Proces pozyskania próbek złośliwego kodu został bardzo dokładnie przemyślany pod kątem cyfrowej kryminalistyki i wywiadu dotyczącego zagrożeń – zbierane są wszystkie dane kontekstowe, opisujące pojawienie się podejrzanego kodu u potencjalnej ofiary, ale zadbano o to, aby działania te były niewidoczne dla atakujących.

Do VMRay Analyzer wprowadzono także mechanizmy, które symulują pracę użytkownika (spowalniają przeprowadzenie wybranych akcji) oraz w sztuczny sposób doprowadzają do restartu wirtualnej maszyny, co może być jednym z czynników skłaniających złośliwy kod do rozpoczęcia pracy. Z kolei moduł analizy manualnej pozwala członkom zespołu ds. bezpieczeństwa na interakcję z podejrzanym złośliwym kodem – podglądanie jego zachowania w czasie zbliżonym do rzeczywistego w celu zidentyfikowania wskaźników ataku IoC (Indicator of Compromise) oraz zaobserwowania szkodliwego zachowania, które czasami umyka metodom automatycznym.

Pełna funkcjonalność VMRay Analyzer jest zgodna z regułami opisanymi w metodyce analizy zagrożeń MITRE ATT&CK. Została też odwzorowana we wbudowanym interfejsie REST/JSON, co umożliwia zespołom ds. bezpieczeństwa zautomatyzowane przesyłanie podejrzanych plików, adresów URL, informacji o ruchu sieciowym i zmianach w rejestrze, łatwe pozyskiwanie informacji o zagrożeniach oraz integrację VMRay Analyzer z innymi narzędziami bezpieczeństwa w heterogenicznych środowiskach. Warto wspomnieć także o mechanizmach Golden Images oraz Cloud Localization, które umożliwiają replikację środowiska produkcyjnego użytkowników w celu optymalizacji wykrywania ukierunkowanego złośliwego oprogramowania.

Wyłącznym dystrybutorem rozwiązań VMRay w Polsce jest firma Ingram Micro.

Trzy pytania do…  

Piotra Jasińskiego, Security Business Unit Managera w Ingram Micro

 

 

 

1. Wiele rozwiązań ochronnych ma wbudowaną funkcję sandboxa. Dlaczego więc warto jednak wdrażać ten moduł jako odrębny i samodzielnie działający element większego systemu?  VMRay to rozwiązanie niezależne od innych producentów, co w tym przypadku jest jego zaletą. Mechanizmy sandboxingu ewoluują wraz z rosnącym stopniem komplikacji zagrożeń, więc coś, co jest na stałe wbudowane w dane rozwiązanie ochronne i dzisiaj się sprawdza, jutro może nie wystarczyć. Dlatego w przypadku tej konkretnej grupy produktów rekomendowane jest skorzystanie z niezależnych dostawców, ale tworzących swoje produkty tak, by przez interfejs API współpracowały z innymi.

2. Co jeszcze wyróżnia rozwiązania VMRay, oprócz faktu, że są niezależne od innych producentów?  Są bardzo dobrze przemyślane, przez co ryzyko, że złośliwy kod zorientuje się, iż jest analizowany w module sandbox, jest praktycznie wyeliminowane. Dla przykładu, niektóre zagrożenia przygotowane są w taki sposób, aby były aktywne tylko w danym kraju. VMRay bierze to pod uwagę i w trakcie głębokiej analizy emuluje swoją obecność w różnych krajach. Rozwiązanie to zostało też bardzo dobrze przygotowane do odpierania ataków ukierunkowanych. Użytkownik może przygotować złoty obraz typowego komputera, który jest wykorzystywany w jego firmie, z danymi identyfikacyjnymi i innymi informacjami, a następnie wgrać go do sandboxa. Dzięki temu złośliwy kod przygotowany przeciwko konkretnej firmie będzie „myślał”, że rzeczywiście znajduje się na należącym do niej komputerze.

3. Jaka jest grupa docelowa dla tego typu rozwiązań?  Pewien poziom ochrony powinien mieć dziś każdy, ale oczywiście stopień jego zaawansowania związany jest z kosztami. Dla rozwiązań VMRay nie mamy zdefiniowanej konkretnej grupy docelowej. Zawsze jednak podkreślamy, że powinny się nimi zainteresować firmy, w których każdy przestój generuje duże straty, a także te, które podejrzewają, że mogą być potencjalną ofiarą ataku ukierunkowanego.

  

Dodatkowe informacje: Piotr Jasiński, Security Business Unit Manager, Ingram Micro, piotr.jasinski@ingrammicro.com