Helt siden innføringen av sandkasser, har det vært en katt-og-mus-lek mellom angripere og sandkasse stakere. For deres malware å lykkes utover bare en proof-of-concept malware eller utnytte, er det viktig at malware forfattere kunne forstå sandkasser og hvordan å unnslippe dem eller i det minste hvordan man skal oppnå sin ende uavhengig av sandkassen. Desto vanskeligere er det for antimalware forskere å skape automatisert deteksjon og utbedring, kan jo lenger malware kjøre i naturen. Dette gjelder for alle deler av malware analyse for sandkasser og nettverk kommunikasjon aspekter av malware.

Seculert skrev et blogginnlegg om en nyere versjon av Sazoora malware, treffende navnet Sazoora.B, som har vært i stand til å effektivt bekjempe sandkasser. Den opprinnelige Sazoora er et internettbasert malware som stjeler data ved å injisere uredelig kode i nettsider. Sazoora.B, på den annen side, har utviklet seg til å lage malware analyse vanskeligere ved å utsette gjennomføringen til å bremse automatisk analyse utført.

Mange ganger, systemer vil forsinke levere en e-post eller koble til en nettside til en filen har bestått sandkassen. Ved å utsette henrettelsen av, si, 15 minutter, målets malware analyse potensielt kunne tid ut og malware kan passere på det lokale systemet. Grunnen til dette kan være et konfigurerbart alternativ som faller e-post eller tilkoblinger hvis noe ikke er utført i en bestemt tidsperiode. Dette er ikke avhengig av en lokal eller ekstern sandkasse; heller, det avhenger av hvor omfattende analysen er og sikkerhetspolitikk organisasjonen har konfigurert i systemet om hvor lenge å vente til å sende en fil til et endepunkt. Ved hjelp av en outsourcet eller sky sandkasse kan gi mer dedikerte ressurser til analyse av malware og øke bedriftens beskyttelse.

Spør eksperten!
Lyst til å spørre Nick Lewis et spørsmål om bedriften trusler?
Send inn ditt spørsmål nå
via e-post! (Alle spørsmål er anonyme.)