Schwerpunkte

Fraunhofer FKIE

Neue Malware umgeht Sandbox

09. April 2018, 10:27 Uhr   |  Paulina Würth

Neue Malware umgeht Sandbox
© Nicescene | Shutterstock

Sandboxen erhöhen nicht nur die Sicherheit, sie bieten auch eine Testumgebung zur Analyse von Malware.

Sandboxen schützen nicht nur Unternehmensnetzwerke, sie erkennen auch unbekannte Schadsoftware. Doch neue Malware-Arten nutzen Sicherheitslücken geschickt aus. Welche das sind, deckte das Fraunhofer FKIE auf.

Viele Unternehmen nutzen Sanboxen um ihre IT-Infrastruktur zu schützen. Anders als bei klassischen Anti-Viren-Lösungen wird bei den Sandboxen eine verdächtige Datei nicht beim Nutzer, sondern im Sandbox-System getestet. Neben dem unschädlich machen der Malware können so auch bislang unbekannte Schadsoftwares erkannt werden.

Doch die Programmiere von Malwares haben nun begonnen, Gegenmaßnahmen zu implementieren: Meist überprüft die Schadsoftware zuerst, ob sie in einer abgesicherten Sandbox läuft. Werden dafür Indizien gefunden, bricht sie die weitere Ausführung ihres Schad-codes ab und wird nicht erkannt – man spricht von einer »Sandbox Evasion«.

Wissenschaftler am Fraunhofer FKIE haben nun eine neue Form der Sandbox Evasion entdeckt: Hierbei führt die Malware zunächst eine »Fake-Aktion« durch. Während diese Fake-Aktion von der Sandbox protokolliert wird, wird die Aktion unbemerkt verändert, sodass die Sandbox eine gutartige statt der bösartigen Aktion protokolliert.

In der Studie »Illusion Tricks: Manipulating Sandbox Reports for Fun and Profit« hat das Fraunhofer FKIE acht Sandbox-Lösungen auf die Reaktion der neuen Form der Sandbox Evasion getestet. Unabhängig von der angewandten Sandbox-Technik (usermode-, kernelmode-, hypervisor- oder emulationsbasiert) konnte diese Art der Evasion durchgeführt werden. Von den acht getesteten Sandbox-Lösungen waren vier anfällig, eine weitere partiell anfällig. Bei den übrigen drei Sandbox-Lösungen funktioniert die Evasion nicht und die bösartigen Aktionen wurden von der Sandbox protokolliert.

Laut dem Fraunhofer Institut wurden die betroffenen Hersteller der Sandboxen über die Sicherheitslücke in ihren Systemen informiert. Neben der Studie hat das Fraunhofer FKIE ein Tool zum Checken sowie einige anonymisierte Analyse-Reports anfälliger Sandboxen bereitgestellt.

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

Fraunhofer FKIE Institut für Kommunikation, Informationsverarbeitung und Ergonomie