Een nieuwe sandboxtechnologie herkent meteen malwaregedrag. Het gaat om een technologie waarmee detectie van malwaregedrag in een eigen ‘proeftuinomgeving’ een stuk eenvoudiger wordt.
Dit nieuwe patent (US1033939301) van het United States Patent and Trademark Office gaat naar Kaspersky. Nu nog moeten security-experts veel handwerk moeten verrichten om de exacte omstandigheden te creëren waarin ze malware kunnen herkennen. Deze gepatenteerde expertise stelt de onderzoekers in staat een verdacht bestand in één keer te analyseren.
Sandboxtechnologie
De zogeheten sandboxtechnologie zorgt dat binnen eigen organisaties snel en meer inzicht komt in malwaregedrag. Dit octrooi ‘Systeem en methode voor de analyse van bestanden op kwaadaardigheid in een virtuele omgeving’ beschrijft een technologie die automatisch leidt tot bijvoorbeeld een bestand. Het creërt daarbij de juiste omstandigheden.
Malware kan zijn kwaadaardige gedrag niet vertonen als het zich richt op een specifieke toepassing zoals een e-mail account. Die ontbreekt in een ‘proeftuin’, ofwel sandbox-omgeving.
Logboeken
Om deze uitdaging het hoofd te bieden, moet een onderzoeker logboeken doorzoeken, begrijpen wat er ontbreekt, deze toevoegen aan de sandboxomgeving en het proces opnieuw uitvoeren. Als malware probeert toegang te krijgen tot iets, een applicatie, map of bestand, onderschept het gepatenteerde systeem deze poging.
Het wacht niet tot de uitvoering van het bestand is voltooid. Het nieuwe systeem pauzeert het proces. Het maakt zowel de vereiste toepassing als de inhoud zoals browserwachtwoorden. Daarna gaat het proces verder.
Ontwijkingstechniek
De nieuwe technologie helpt ook bij het overwinnen van een ontwijkingstechniek. Bijvoorbeeld als malware in een bepaalde periode niet actief is, terwijl de sandboxomgeving nog steeds beschikbaar is. Het forceert de kwaadaardige codes om sneller hun werk te doen.
Detectieregels die beschrijven hoe te reageren op een specifieke gebeurtenis zijn niet vooraf geïnstalleerd of geïmplementeerd in de machine Ze kunnen eenvoudig worden bijgewerkt en toegevoegd.
Dankzij de gepatenteerde technologie is het niet langer nodig om bij elke nieuwe situatie de sandboxomgeving volledig te veranderen. De virtuele omgeving wordt alleen verrijkt met beschikbare kwaadaardige gedragsscenario´s.
