{"id":24211,"date":"2019-09-24T17:02:16","date_gmt":"2019-09-24T15:02:16","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=24211"},"modified":"2019-09-24T17:02:16","modified_gmt":"2019-09-24T15:02:16","slug":"kaspersky-sandbox-patent","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/kaspersky-sandbox-patent\/24211\/","title":{"rendered":"Een honingval voor malware"},"content":{"rendered":"

Ik heb het zesde deel van Mission Impossible<\/a><\/em> niet gezien, en dat ben ik ook niet van plan. Ik keek deel vijf \u2014 als een soort zombie, tijdens mijn reis terug naar huis op een langeafstandsvlucht na een zware werkweek \u2014 maar puur en alleen omdat \u00e9\u00e9n sc\u00e8ne ervan was opgenomen in ons prachtige nieuwe, moderne kantoor in Londen<\/a>. En dat was \u00e9\u00e9n deel van Mission Impossible<\/em>\u00a0te veel, eerlijk gezegd. Nee, niets voor mij. Knal, boem, bots, ram, wauw. Oef. Nee, ik heb liever\u00a0iets<\/a>\u00a0uitdagends, dat je aan het denken zet en simpelweg interessant is. Ik heb al zo weinig tijd!<\/p>\n

Ik ben Tom Cruise en co hier enorm te kakken aan het zetten, nietwaar? Maar wacht. Ik moet ze nageven dat er in ieder geval \u00e9\u00e9n sc\u00e8ne erg goed gedaan was (die je aan het denken zet en simpelweg interessant is!). Het is de sc\u00e8ne waarin de goeden de schurk zover moeten krijgen om zijn mede-schurken te verraden, of zoiets. Dus ze zetten en nepomgeving op in een \u201cziekenhuis\u201d met \u201cCNN\u201d op \u201ctv\u201d waar nieuws wordt uitgezonden over een allesvernietigende atoomoorlog. Voldoende tevreden door het feit dat zijn apocalyptische manifest aan de wereld wordt getoond, geeft de schurk zijn maten op (of was het een inlogcode?) in een deal die hij heeft gesloten met zijn ondervragers. Oeps.\u00a0Dit is het fragment<\/a>.<\/p>\n

Waarom ben ik zo dol op deze sc\u00e8ne? Omdat het heel goed een van de methodes weergeeft voor het detecteren van\u2026 nooit eerder vertoonde cyberdreigingen! Er zijn tal van zulke methodes, vari\u00ebrend van het toepassingsbied, de effectiviteit, hulpbronnengebruik en andere parameters (Ik\u00a0schrijf<\/a>\u00a0daar hier regelmatig over). Maar \u00e9\u00e9n methode lijkt er altijd bovenuit te steken:\u00a0emulatie<\/a>\u00a0(waar ik ook\u00a0erg veel<\/a>\u00a0over heb geschreven).<\/p>\n

Net als in de Mission Impossible<\/em>-film, lanceert een emulator het object dat wordt onderzocht in een ge\u00efsoleerde, kunstmatige omgeving, die het object aanmoedigt om zijn kwaadaardigheid te tonen.<\/p>\n

\"\"<\/p>\n

Maar er is \u00e9\u00e9n groot nadeel aan deze aanpak: het feit dat de omgeving kunstmatig is. De emulator doet zijn best om die kunstmatige omgeving zo veel mogelijk op een echt besturingssysteem te laten lijken, maar de steeds slimmer wordende malware slaagt er nog altijd in om het te onderscheiden van the real thing.<\/em> En dan ziet de emulator hoe de malware het heeft herkend, hergroepeert het en verbetert het zijn emulatie, en dat gaat zo maar door in een eindeloze cyclus die met regelmaat kwetsbare plekken blootstelt op een beschermde computer. Het fundamentele probleem is dat er nog altijd geen emulator is geweest die een exact evenbeeld is van een echt besturingssysteem.<\/p>\n

Er is echter een andere optie voor het tackelen van gedragsanalyses van verdachte objecten: een analyse \u2014 op een echt<\/em>\u00a0besturingssysteem \u2014 op een virtuele machine. Nou, waarom niet? Als de emulator nooit helemaal genoeg is, laat dan een echte, al zij het virtuele, machine het maar proberen! Het zou de ideale \u201condervraging\u201d zijn \u2014 uitgevoerd in een echte omgeving, en geen kunstmatige, maar zonder de echte negatieve gevolgen.<\/p>\n

Bij het horen van dit concept, zullen velen zich onmiddellijk afvragen waarom niemand hier eerder aan heeft gedacht. Virtualisatie maakt immer als sinds 1992 deel uit van de tech-mainstream. Zo simpel blijkt het dus niet te liggen.<\/p>\n

Ten eerste is het analyseren van verdachte objecten op een virtuele machine een hulpbron-intensief proces, alleen geschikt voor de zwaardere enterprise-grade beveiligingsoplossingen, waarbij het scannen superintensief moet zijn zodat er absoluut geen kwaadaardigheid door de verdediging heen komt. Dus helaas, voor pc\u2019s, laat staan smartphones, is deze technologie niet geschikt. Nog niet.<\/p>\n

Ten tweede bestaat dit ook daadwerkelijk. We gebruiken deze technologie zelfs al \u2014 intern, hier bij de K<\/em>ompany \u2014 voor interne onderzoeken. Maar op het gebied van producten die klaar zijn voor de markt, is er nog niet veel beschikbaar. Concurrenten hebben vergelijkbare producten op de markt gebracht, maar de effectiviteit daarvan laat nog veel te wensen over. Over het algemeen zijn die producten beperkt tot het verzamelen van logboeken en eenvoudige analyses.<\/p>\n

Ten derde is het lanceren van een bestand op een virtuele machine slechts het begin van een erg lang en ingewikkeld proces. Het doel ervan is immers om ervoor te zorgen dat een object zijn kwaadaardigheid onthult, en daar is een slimme hypervisor voor nodig, het loggen en analyseren van gedrag, constant verfijnen van de modellen van gevaarlijke handelingen, bescherming tegen anti-emulatietrucs, uitvoeringsoptimalisatie en nog veel meer.<\/p>\n

Hier kan ik zonder valse bescheidenheid zeggen dat we echt vooroplopen, op de hele wereld!<\/p>\n

We kregen onlangs een U.S. patent toegekend (US10339301<\/a>) dat de creatie dekt van een geschikte omgeving voor een virtuele machine voor het uitvoeren van diepe, snelle analyses van verdachte objecten. Zo werkt het:<\/p>\n