Nejen automobily zneužívají odpojovací zařízení

V uplynulých měsících se objevoval pojem „odpojovací zařízení“ (defeat device) především v souvislosti se skandálem s nadměrnými emisemi dieselových automobilů. Zjednodušeně řečeno bylo odpojovací zařízení zabudováno do softwaru řídicího motor vozidla a detekovalo, že dochází k testování v kontrolovaných laboratorních podmínkách. V takovém případě změnilo chování motoru do bezpečného režimu, takže motor prošel testem. A jakmile bylo testování dokončeno, přepnul se vůz do normálního režimu, ve kterém motor generoval výrazně vyšší množství emisí.

Ptáte se, proč zde připomínám notoricky známou kauzu automobilového průmyslu? Protože kyberzločinci používají podobné postupy už řadu let, aby se jejich malware vyhnul detekci běžnými bezpečnostními řešeními a oni mohli infikovat sítě. Jde o pomyslný závod ve zbrojení, který odstartovaly sofistikované malwarové nástroje, který umožnily kyberzločincům relativně snadno vylepšit a zamaskovat stávající malware a vytvořit „novou“ infekci nedetekovatelnou tradičními antivirovými ochranami. Check Point upozornil na tyto hackerské techniky ve své studii 2015 Security Report, ze které vyplynulo, že každou hodinu zasáhne organizaci 106 neznámých typů škodlivého kódu - to je 48krát více než za předchozích 12 měsíců. Hackeři nyní vytváří malware s opravdovými odpojovacími zařízeními, takže škodlivý kód identifikuje, když je testován bezpečnostním řešením a aktivně se vyhne detekci. Pojďme se na tento evoluční krok podívat a co lze udělat pro detekci a blokování těchto nových, pokročilých maskovacích metod.

Bezpečí v sandboxu?

V boji s rychle rostoucím neznámým malwarem masově vytvářeným pomocí nejrůznějších snadno dostupných toolkitů vyvinuli bezpečnostní výrobci novou technologii pro detekci a zachycení moderních typů útoků a nových variant stávajících škodlivých kódů. Jedná se o emulaci hrozeb nebo jinak řečeno - sandboxing. Používá virtualizované prostředí, které běží na síťové bezpečnostní bráně nebo v cloudu a emuluje chování malwaru v běžných operačních systémech.

Sandboxing umožňuje zkoumat obsah podezřelých souborů (například e-mailové přílohy nebo soubory ke stažení) v bezpečném prostředí, které je odděleno od podnikových sítí a dat. Soubory jsou otevřeny v různých virtuálních programech a simulují se aktivity uživatelů. Pokud dojde k nějakému abnormálnímu nebo škodlivému chování, jako jsou pokusy o změny v registru nebo síťových připojení, soubor je blokován a umístěn do karantény, aby se zabránilo infekci ještě před tím, než se vůbec může dostat do sítě.

Sandboxing se ukázal jako vysoce účinná technika pro detekci nových neznámých malwarů, ale jen po určitou dobu. Kyberzločinci totiž také vylepšují své maskovací technologie a vyvíjí malware, který můžete aktivně identifikovat, když je ve virtualizovaném prostředí sandboxu, a skrýt během testování škodlivé chování. Škodlivý kód se tak vyhne detekci v sandboxu a obejde i všechny ostatní ochrany, což představuje skutečné riziko pro podnikové sítě.

Vytvoření lepší pasti

Jak tedy porazit tato pokročilá odpojovací zařízení ve škodlivých kódech a vyvinout účinnější sandbox, který je schopen detekovat i ty nejnenápadnější hrozby? Odpovědí je jít ještě hlouběji a rozšířit detekční sandboxingové schopnosti pod úroveň operačních systémů, spustitelných a datových souborů.

Nezáleží na tom, jak je malware sofistikovaný a co všechno může způsobit, je totiž jen málo metod a instrukcí, jak zneužít slabiny, proniknout do systému a infikovat zařízení. Pokud je sandbox schopen zkoumat aktivity pod úrovní operačního systému a kontrolovat, co se děje na úrovni CPU instrukcí na stroji, kde je spuštěn, jakýkoli pokus škodlivého kódu o zneužití lze detekovat jako anomálii v toku instrukcí na procesoru.

To znamená, že malware ukrytý v souborech a datech může být identifikovaný ještě před tím, než má šanci se plně aktivovat, a dokonce než se může pokusit vyhnout detekci v sandboxu. Eliminují se odpojovací zařízení a rizika infekce neznámým malwarem. Hrozba pak může být zablokována a umístěna do karantény v sandboxu, takže se nikdy nedostane do podnikové sítě.

Celý tento proces probíhá transparentně pro většinu souborů. Pokud je podezřelý soubor při testování označen jako „čistý“, příjemce souboru nepozná žádné významné zdražení. Informace o všech detekovaných aktivitách jsou pak k dispozici IT týmu v podrobné zprávě.

Sdílet a chránit

Pokročilý sandboxingový přístup přináší také další zásadní výhodu. Jakmile je detekována nová, neznámá hrozba, stává se známou a zdokumentovanou malwarovou variantou, kterou lze v případě dalších budoucích útoků jednoduše detekovat. Informace lze navíc sdílet, takže i další organizace mohou aktualizovat své zabezpečení a chránit síť před malwarovou infekcí, která by mohla přerůst v epidemii.

Dokonce i ty nejlépe reagující konvenční anti-malwarové zbraně vás neochrání před neznámým malwarem. Vzniká kritická mezera, která by mohla hackerům umožnit proniknout do vaší organizace.

Proto je nutné nasadit pokročilá sandboxingová řešení v kombinaci s technologiemi pro detekci na úrovni operačního systému a CPU. Jedině tak můžete proaktivně bránit sítě a data před hrozbami nultého dne a pokročilými neznámými hrozbami, které by se jinak vyhnuly detekci.

David Řeháček