Technieken waar malware-ontwikkelaars gebruik van maken op een rijtje
Malware wordt steeds geavanceerder. Door het toenemende vermogen om meerdere vormen aan te nemen, is malware in staat zich te verbergen of te vermenigvuldigen en de beveiliging van de host uit te schakelen. Ontwikkelaars van malware maken hierbij gebruiken van allerlei technieken om file-based sandboxes te omzeilen. FireEye zet deze technieken op een rijtje.
FireEye schrijft in het rapport ‘Hot Knives Through Butter: How Malware Evades Automated File-based Sandboxes' dat malware-ontwikkelaars technieken gebruiken die meestal behoren tot één of meerdere van de categorieën 'menselijke interactie', 'configuratie', 'omgeving' of 'klassieke VMware ontduikingstecknieken'.
Menselijke interactie
Technieken in de categorie 'menselijke interactie' zijn langere tijd op systemen aanwezig, maar worden pas actief zodra menselijke interactie wordt gedetecteerd. Een voorbeeld is de UpClicker Trojan, die muisklikken registreert om menselijke activiteiten te kunnen detecteren. Zodra een muisklik wordt geregistreerd start de communicatie met de CnC-servers.
Configuratie
Malware in de categorie 'configuratie' spelen de malwaremakers in op de manier waarop sandboxes zijn geconfigureerd. sandboxes imiteren de computer die ze beschermen, maar zijn nog steeds geconfigureerd naar een aantal vastgestelde parameters. De meeste sandboxes houden een bestand voor slechts enkele minuten in de gaten voordat ze doorgaan naar het volgende bestand. Cybercriminelen wachten buiten de sandbox en vallen aan zodra het monitoringsproces van het betreffende bestand is voltooid.
Omgeving
Technieken in de categorie 'omgeving' proberen in te spelen op een fout in het systeem. Doorgaans gaat het hierbij om een fout die alleen aanwezig is in bepaalde versies van applicaties. Als een vooraf gedefinieerde configuratie binnen een sandbox een bepaalde combinatie van een besturingssysteem of applicatie mist, reageert de malware niet en ontwijkt het daarmee detectie.
Klassieke VMware ontduikingstecknieken
VMware is een populaire virtualisatietool en bijzonder eenvoudig te herkennen aan de karakteristieke configuratie. Ontwikkelaars van malware spelen hier op in. Zo kan malware door de kenmerkende configuratie van VMware verschillende VMware-diensten bekijken voordat deze tot actie overgaat.
