Search Icon
Elektroniknet Logo
Search Icon

Fraunhofer FKIE

Neue Malware umgeht Sandbox

9. April 2018, 10:27 Uhr | Paulina Würth
Sandboxen erhöhen nicht nur die Sicherheit, sie bieten auch eine Testumgebung zur Analyse von Malware.
© Nicescene | Shutterstock

Sandboxen schützen nicht nur Unternehmensnetzwerke, sie erkennen auch unbekannte Schadsoftware. Doch neue Malware-Arten nutzen Sicherheitslücken geschickt aus. Welche das sind, deckte das Fraunhofer FKIE auf.

Viele Unternehmen nutzen Sanboxen um ihre IT-Infrastruktur zu schützen. Anders als bei klassischen Anti-Viren-Lösungen wird bei den Sandboxen eine verdächtige Datei nicht beim Nutzer, sondern im Sandbox-System getestet. Neben dem unschädlich machen der Malware können so auch bislang unbekannte Schadsoftwares erkannt werden.

Doch die Programmiere von Malwares haben nun begonnen, Gegenmaßnahmen zu implementieren: Meist überprüft die Schadsoftware zuerst, ob sie in einer abgesicherten Sandbox läuft. Werden dafür Indizien gefunden, bricht sie die weitere Ausführung ihres Schad-codes ab und wird nicht erkannt – man spricht von einer »Sandbox Evasion«.

Wissenschaftler am Fraunhofer FKIE haben nun eine neue Form der Sandbox Evasion entdeckt: Hierbei führt die Malware zunächst eine »Fake-Aktion« durch. Während diese Fake-Aktion von der Sandbox protokolliert wird, wird die Aktion unbemerkt verändert, sodass die Sandbox eine gutartige statt der bösartigen Aktion protokolliert.

In der Studie »Illusion Tricks: Manipulating Sandbox Reports for Fun and Profit« hat das Fraunhofer FKIE acht Sandbox-Lösungen auf die Reaktion der neuen Form der Sandbox Evasion getestet. Unabhängig von der angewandten Sandbox-Technik (usermode-, kernelmode-, hypervisor- oder emulationsbasiert) konnte diese Art der Evasion durchgeführt werden. Von den acht getesteten Sandbox-Lösungen waren vier anfällig, eine weitere partiell anfällig. Bei den übrigen drei Sandbox-Lösungen funktioniert die Evasion nicht und die bösartigen Aktionen wurden von der Sandbox protokolliert.

Laut dem Fraunhofer Institut wurden die betroffenen Hersteller der Sandboxen über die Sicherheitslücke in ihren Systemen informiert. Neben der Studie hat das Fraunhofer FKIE ein Tool zum Checken sowie einige anonymisierte Analyse-Reports anfälliger Sandboxen bereitgestellt.

Das könnte Sie auch interessieren

Der IBM X-Force Sicherheitsreport wertet die Sicherheitsrisiken einer vernetzten Gesellschaft aus.

IBM X-Force Sicherheitsreport 2018

Datendiebstahl runter, Ransomware rauf

Verschlüsselung

Cyber-Attacken gegen Maschinenbauer

VDMA: Unzureichender Schutz

Systeme, die Kryptografie für Verschlüsselung und digitale Unterschriften nutzen, müssen ständig nachgerüstet und verbessert werden, um aktuellen Angriffen standhalten zu können.

Fraunhofer SIT Expertengespräch

Krypto-Standards sind unabdingbar

Verwandte Artikel

Fraunhofer FKIE Institut für Kommunikation, Informationsverarbeitung und Ergonomie

Vodafone

Workshop am Fraunhofer FKIE

»Drohnentechnik für Logistikanwendungen«

Cyber-Sicherheit Fraunhofer FKIE

Cyber-Sicherheit für KRITIS

Stromnetze resilienter gegen Angriffe machen

Stena Line FKIE Transport Elektromobilität

Transport auf Fährschiffen

Sichere Überfahrt mit Elektrofahrzeug und Co.