תוכנות זדוניות משעממות מתגנבות על ידי ארגזי חול אנטי-וירוס

ביצוע ניתוח דינמי של תוכנות לא ידועות בסביבה מבוקרת - או "ארגז חול" - הוא כלי אבטחה רב עוצמה שמשמש אנשי מקצוע לאבטחת תוכנות זדוניות. עם זאת, הרעים חכמים לטכניקה והכניסו טריקים חדשים לפרוץ מארגז החול ולמערכת שלכם.

"ניתוח דינמי הוא הדרך הנכונה, והרבה אנשים עושים את זה", אמר כריסטופר קרוגל, מייסד-שותף ומדען ראשי של חברת האבטחה LastLine. "אבל באמת, זה רק שריטות על פני השטח." המודל הישן של פתרונות AV התמקד ברשימות של תוכנות זדוניות ידועות, ושמר מפני כל מה שתואם את אותה רשימה. הבעיה היא ששיטה זו אינה יכולה להגן מפני ניצולים של אפס יום או מפני אינספור הווריאציות של תוכנות זדוניות קיימות.

היכנס לארגזי חול, שמפעילה תוכנה לא ידועה בסביבה מבוקרת, כמו מכונה וירטואלית, וצופה לראות אם היא מתנהגת כמו תוכנה זדונית. באמצעות אוטומציה של התהליך, חברות AV הצליחו לספק הגנה בזמן אמת מפני איומים שמעולם לא ראו.

שובר את ארגז החול

באופן לא מפתיע, החבר'ה הרעים הציגו כלים חדשים כדי להערים על ארגזי חול להתעלם מהתוכנות הזדוניות ולתת להם לעבור. קרוגל ציטט שתי דרכים בהן תוכנה זדונית החלה לעשות זאת: הראשונה היא השימוש בטריגרים סביבתיים, בהם התוכנה הזדונית תבדוק בעדינות אם היא פועלת בסביבה של ארגז חול. תוכנה זדונית תבדוק לפעמים את שם הדיסק הקשיח, את שם המשתמש, אם מותקנות תוכנות מסוימות או קריטריונים אחרים.

השיטה השנייה והמתוחכמת יותר שקראוגל תיארה הייתה תוכנות זדוניות שבעצם דוחה את ארגז החול. בתרחיש זה, התוכנה הזדונית אינה צריכה לבצע בדיקות אלא במקום זאת עושה חישובים חסרי תועלת עד שארגז החול מרוצה. לאחר תום הזמן של ארגז החול, הוא מעביר את התוכנה הזדונית למחשב בפועל. "התוכנה הזדונית מתבצעת במארח האמיתי, עושה את הלופ שלה ואז עושה דברים רעים, " אמרה קרוגל. "זה איום משמעותי על כל מערכת המשתמשת בניתוח דינמי."

כבר בטבע

וריאנטים לטכניקות שבירת ארגז חול אלה כבר מצאו את דרכם להתקפות בעלות פרופיל גבוה. על פי קרוגל, לתקיפה על מערכות המחשבים בדרום קוריאה בשבוע שעבר הייתה מערכת פשוטה מאוד להימנע מגילוי. במקרה זה, קרוגל אמר כי התוכנה הזדונית תפעל רק בתאריך ושעה מסוימים. "אם ארגז החול משיג אותו למחרת, או יום קודם, הוא לא עושה דבר", הסביר.

קרוגל ראה טכניקה דומה בפיגוע הארמקו, שם תוכנה זדונית הפילה אלפי מסופי מחשב בחברת נפט מזרח תיכונית. "הם בדקו שכתובות ה- IP היו חלק מאותו אזור. אם ארגז החול שלך לא נמצא באזור זה, זה לא היה מבצע", אמר קרוגל.

מבין התוכנות הזדוניות שהבחינה ב- LastLine, קרוגל אמר ל- SecurityWatch כי הם מצאו שלפחות חמישה אחוזים משתמשים כבר בקוד התקפות.

מרוץ החימוש AV

האבטחה הדיגיטלית תמיד עסקה בהסלמה באמצעות אמצעים נגדיים הפוגשים התקפות נגד חדשות כל הזמן. התחמקות מארגוני חול אינה שונה, שכן חברת LastLine של קרוגל כבר ניסתה לחקור עמוק יותר תוכנות זדוניות על ידי שימוש באמולטור קוד ולעולם לא מאפשרת לתוכנות זדוניות פוטנציאליות לבצע את עצמן ישירות.

קרוגל אמר כי הם גם מנסים "לדחוף" תוכנות זדוניות פוטנציאליות להתנהגות רעה, על ידי ניסיון לשבור לולאות עוקצות פוטנציאליות.

למרבה הצער, יצרני תוכנות זדוניות הם חדשניים בלי סוף ולמרות שרק חמישה אחוזים החלו לפעול להכות ארגזי חול, זהו הימור בטוח שיש אחרים שאנחנו לא יודעים עליהם. "בכל פעם שמוכרים לצאת עם פתרונות חדשים, התוקפים מסתגלים, ונושא ארגזי החול אינו שונה", אמר קרוגל.

החדשות הטובות הן שבעוד שהדחיפה והמשיכה הטכנולוגית עלולה שלא להסתיים בזמן הקרוב אחרים מכוונים לשיטות בהן מייצרים תוכנות זדוניות כדי להרוויח כסף. אולי זה יפגע בחבר'ה הרעים שבהם אפילו התכנות החכמות ביותר לא יכולות להגן עליהם: הארנקים שלהם.