Piaskownica nie do zabawy

Jak działa sandbox

Analiza z wykorzystaniem chronionego środowiska znacznie różni się od skanowania strumienia przy ochronie przed złośliwym kodem na zaporze sieciowej. Wynik skanowania można dostarczyć później, gdyż kilkuminutowe opóźnienie w przypadku poczty elektronicznej nie ma znaczenia dla użytkownika, a zatem sprawdzenie podejrzanych obiektów można przeprowadzić dokładniej niż przy prostym skanowaniu strumienia danych.

Tomasz Niewdana, inżynier systemowy w firmie Fortinet, wyjaśnia: „Za pomocą technologii FortiSandbox można sprawdzić pliki zarówno w formie standardowej, jak i wewnątrz archiwów oraz adresy URL. Ponieważ mamy więcej czasu na analizę, obiekt jest skanowany bardzo dokładnie jako całość. Dzięki temu technologie zaciemnienia kodu, które umożliwią ominięcie skanerów strumieniowych, nie będą skuteczne w piaskownicy”.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Raport Sophos - hakerzy celują w Active Directory

Skanowanie antywirusowe

Badanie podejrzanego pliku zaczyna się od skanowania antywirusowego. Ważną przewagą skanera w sandboksie jest wielkość bazy sygnatur. Przy skanowaniu można uwzględnić starsze technologie sprzed lat, których nikt już nie używa w antywirusach sieciowych z racji dbałości o wydajność. Bez szkody dla ciągłości działania można wprowadzić także najnowsze eksperymentalne szczepionki charakteryzujące się potencjalnie wysokim współczynnikiem fałszywych alarmów. Na stacji roboczej fałszywy alarm antywirusa grozi zablokowaniem systemu Windows, ale w piaskownicy może spowodować co najwyżej wysłanie do kwarantanny pojedynczej wiadomości e-mail.

Odpytanie chmury

Masowe infekcje za pomocą malware'u nie są ograniczone do pojedynczej instalacji, dlatego można skorzystać z efektu skali i odpytać mechanizm chmurowy dostawcy. Jeśli ktoś przedtem skanował plik o danym skrócie kryptograficznym (i innych metadanych), to w ciągu kilku sekund można uzyskać odpowiedź. Jest to drugi krok analizy. Trwa zazwyczaj kilka sekund

Emulacja kodu

Trzeci krok zakłada sprawdzenie za pomocą zaawansowanego podejścia sygnaturowego, w którym nie ma sygnatury pojedynczego zagrożenia, ale są szerzej opisane reguły potrafiące wychwycić od kilkuset do kilku tysięcy wariantów tego samego złośliwego oprogramowania. Tutaj sprawdza się także obecność pętli antydebugowych oraz innych sposobów obrony przed analizą kodu.

Uruchomienie w piaskownicy

Ostatnim krokiem jest uruchomienie kodu w środowisku wirtualnym wyposażonym w kontrolowane wirtualne łącze do internetu. Próbka jest monitorowana pod kątem dziwnych zachowań, takich jak: kasowanie lub nadpisywanie plików, niestandardowe wpisy w rejestrach, ukrywanie swojego działania w systemie, dodawanie się do automatycznego startu, uruchamianie innych procesów, podszywanie się pod usługi systemowe generowanie podejrzanych zapytań DNS. Sprawdzane są także adresy internetowe, do których łączy się dany program. Jeśli wśród tych cech znajdą się symptomy niebezpieczeństwa, próbkę można zablokować. W ten sposób udaje się wykryć wiele dropperów popularnego złośliwego oprogramowania.

Na podstawie wyników powyższej analizy powstaje ocena ryzyka związanego z danym plikiem. Jeśli analiza wykaże, że podejrzany plik jest wirusem, to niebawem będzie dostępna integracja piaskownicy z centralnym systemem antywirusowym. Wygenerowana za pomocą sandboksa sygnatura dla tego zagrożenia będzie wprowadzona do lokalnego systemu antywirusowego, by chronić pozostałych użytkowników organizacji. Jeśli komputer kolejnego użytkownika pobierze taki plik, skaner antywirusowy na urządzeniu firewall lub komputerze użytkownika zablokuje infekcję.


TOP 200