Piaskownica dla ekspertów

Utworzyliśmy piaskownicę, która potrafi emulować charakterystyczny dla danej firmy system w środowisku izolowanym.

Twórcy wysyłanych masowo trojanów zadają sobie wiele trudu, aby uruchamiać na komputerach ofiar szkodliwy kod. Z kolei autorzy skomplikowanych zagrożeń i ataków APT starają się również utworzyć mechanizmy, które nie będą uruchamiały ich kodu. W ten sposób mogą ominąć technologie zabezpieczające — w szczególności piaskownice.

Piaskownica a techniki unikania wykrycia

Jednym z podstawowych narzędzi identyfikowania szkodliwej aktywności jest tzw. piaskownica. Mówiąc w skrócie, jest to kontrolowane, odizolowane środowisko, w którym rozwiązania zabezpieczające mogą uruchamiać podejrzany kod i analizować wszystkie wykonywane przez niego działania bez szkody dla systemu. Jeśli rozwiązanie wykryje jakąkolwiek szkodliwą aktywność, zablokuje uruchomienie tego kodu poza piaskownicą.

Taka metoda zapobiegania jest bardzo skuteczna w przypadku zagrożeń masowych. Producenci ochrony stosują mechanizmy piaskownicy w różnej postaci i są one dostępne w większości rozwiązań zabezpieczających. Z tego względu cyberprzestępcy utworzyli technologie, których celem jest określanie, czy szkodliwy program działa w środowisku izolowanym, czy na rzeczywistym systemie operacyjnym stacji roboczej. Najprostszym sposobem jest próba uzyskania dostępu do serwera zewnętrznego (zwykle działanie to jest blokowane przez piaskownice) lub sprawdzenie parametrów systemu. Jeśli coś jest niedozwolone, szkodliwy program zwykle ulega samozniszczeniu, usuwając ślady ataku, co utrudnia pracę badaczom. Bardziej zaawansowane zagrożenia sprawdzają również, czy system jest używany przez użytkownika; jeśli kod zadziała, ale nie będzie śladu prawdziwej aktywności człowieka, może działać w piaskownicy.

Naturalnie my również zareagowaliśmy na nowinki cyberprzestępców i ulepszyliśmy nasze technologie, które teraz unikają zdemaskowania. Nasza infrastruktura zawiera teraz wszechstronną piaskownicę wyposażoną w mechanizmy, które potrafią emulować różne środowiska, a także korzystające z wiedzy zgromadzonej przez firmę Kaspersky odnośnie wszystkich możliwych szkodliwych działaniach. Wybranych funkcji piaskownicy badacze mogą używać zdalnie, za pośrednictwem naszego rozwiązania Kaspersky Cloud Sandbox.

Jednak używanie piaskownicy zdalnie nie zawsze działa w przypadku dużych firm, które mają specjalne centra operacji bezpieczeństwa. Po pierwsze, wiele wewnętrznych i zewnętrznych przepisów zakazuje przesyłania wszelkich informacji na serwery zewnętrzne i dotyczy to również podejrzanego kodu. Po drugie, szkodliwy program przygotowany pod kątem ataku na konkretną firmę może sprawdzać warunki charakterystyczne dla danej infrastruktury (na przykład obecność wysoko wyspecjalizowanego oprogramowania). Z tego względu nasze rozwiązanie, Kaspersky Research Sandbox, może zostać wdrożone w infrastrukturze firmy.

Najważniejsze funkcje rozwiązania Kaspersky Research Sandbox

Kaspersky Research Sandbox nie przesyła danych poza infrastrukturę — w razie konieczności może działać przy użyciu technologii Kaspersky Private Security Network, które działa w trybie diod danych. Jednak jego największą zaletą jest to, że rozwiązanie to umożliwia badaczom tworzenie własnego środowiska emulacji. W efekcie mogą oni tworzyć dokładną izolowaną kopię typowej stacji roboczej, których używają pracownicy w firmie, wraz ze wszystkimi ustawieniami oprogramowania i sieci, aby móc analizować zachowanie podejrzanych obiektów na tej kopii.

Co więcej, technologie Kaspersky Research Sandbox nie tylko używają zaawansowanych analiz zachowania w celu monitorowania tego, co dzieje się w tym środowisku izolowanym, ale również naśladują aktywność człowieka w systemie. Dlatego nasza piaskownica umożliwia uruchamianie, analizę i wykrywanie zaawansowanych zagrożeń, nawet jeśli zostały przygotowane pod konkretną infrastrukturę.

Rozwiązanie to potrafi emulować urządzenia z systemem Microsoft Windows i Android. Więcej informacji na temat rozwiązania Kaspersky Research Sandbox znajduje się na stronie rozwiązania.

Porady