Sandboxing-Technologie: Warum Gut gegen Böse nicht ausreicht

Anmerkung des Herausgebers: Anfang dieses Jahres hat Mimecast Solebit übernommen, ein Unternehmen, dessen Technologie auf die Erkennung von Malware durch statische Dateianalyse ausgerichtet ist. Wie hier erklärt , hatte Mimecast die Technologie von Solebit bereits in Targeted Threat Protection - Attachment Protect integriert und damit die Leistung und Wirksamkeit des Angebots verbessert.

Um zu erläutern, was Solebit macht und wie sich seine Technologie von anderen unterscheidet, hat sich Cyber Resilience Insights kürzlich mit Solebit-Mitbegründer Menj Farjon, dem Chief Scientist für Advanced Threat Detection bei Mimecast, zusammengesetzt.

Was ist Ihr Hintergrund in Cybersicherheit , und wie hat Solebit angefangen?

Mein beruflicher Hintergrund beginnt bei der israelischen Armee. Ich wurde für eine zentrale Cybersecurity-Einheit der israelischen Armee rekrutiert, die sich schwerpunktmäßig mit Sicherheits- und Schwachstellenforschung und Exploits befasst, hauptsächlich im Zusammenhang mit Windows-Plattformen und -Anwendungen.

Hier traf ich Boris Vaynberg , der Mitbegründer und CEO von Solebit war. Wir waren in der gleichen Einheit und er war der Chef. Da wir in der Armee die gleichen Ideen und Konzepte hatten, sagten wir uns: "Warum versuchen wir nicht, etwas Eigenes zu machen?" Boris stellte mich Yossi Sara vor, unserem dritten Mitbegründer.

Da wir die meiste Erfahrung im Bereich Schwachstellen und Exploitation haben, dachten wir an eine Idee zur Exploit-Prävention. Wir wollten einen Proof of Concept (POC) durchführen und etwas in diesem Bereich entwickeln. Wir versuchten, uns etwas einfallen zu lassen, und wir versuchten auch, alle Probleme herauszufinden, warum so etwas nicht funktionieren könnte. Etwa drei Monate später hatten wir einen POC am Laufen, der bewies, dass er ziemlich genau so funktionierte, wie wir es uns zu Beginn vorgestellt hatten. Es deckte sogar mehr ab, als wir dachten.

Wir haben über eine Lösung zur Bekämpfung aller Exploits nachgedacht, und damals im Jahr 2014 war das führende Sicherheitskonzept sandboxing . Jedes große Unternehmen erwarb irgendeine Art von Sandboxing-Lösung. Wir kannten die Schwierigkeiten mit Sandboxing. Wir kannten die ungenauen Teile der Sandbox aus unserer Zeit in der Armee, weil wir diese immer umgangen haben.

Daher war es für uns reizvoll, dies auf eine andere Art und Weise zu tun. Nicht nur eine weitere Sandbox, sondern etwas, das nicht die Nachteile der Sandbox hat, sondern bessere Vorteile als die Sandbox. In erster Linie war das die Kosteneffizienz: die Möglichkeit, ein Urteil zu fällen, das genauso genau oder sogar besser ist als das der Sandbox, und das in Millisekunden. Bei vielen Sandkästen dauerte es damals zwei, drei, fünf Minuten. Manche brauchten sogar 15 oder eine halbe Stunde, weil sie noch nicht so ausgereift waren. Und wir sagten: "Machen wir es in Millisekunden, um das gleiche Ergebnis zu erzielen". Dann haben wir die Idee mit verschiedenen Angriffen für unterschiedliche Umgebungen und Betriebssysteme in Frage gestellt, denn Sandboxen können nur für einige Anwendungen und ein oder zwei Betriebssysteme eingesetzt werden. Wir wollten ein Präventionssystem entwickeln, das darüber hinausgeht, also unabhängig vom Betriebssystem oder der Client-Anwendung ist.

Dann sind wir aufgestiegen, um ein noch besseres Urteil zu fällen. Wir stellten fest, dass der Umgehungsmechanismus, der bei der Sandbox funktionierte, hier nicht funktionierte, da wir eine ganz andere Technologie verwendeten.

F: Was macht Ihre Malware-Erkennung Technologie so anders?

A: Wir haben festgestellt, dass die Angreifer gängige Datendateien wie Microsoft Excel, Word, PowerPoint, Bilder und Videos ausnutzen. Das sind die Dinge, denen man vertrauen würde, wenn man sie in einer E-Mail erhält.

Moderne Angriffe nutzen Exploits in diesen Datendateien, d. h. Sie öffnen ein Word-Dokument, und ohne dass Sie es wissen, läuft auf Ihrem System ein Code, der Berechtigungen übernimmt und einen zusätzlichen Trojaner herunterlädt, der Netzwerkaktivitäten ausspäht oder Passwörter stiehlt und - in späteren Stadien ab 2016 oder 2017 - das System mit Ransomware infiziert. Das war also eine gemeinsame Sache, die wir festgestellt haben.

Und dann, als wir uns damit beschäftigten, war das Unterscheidungsmerkmal, dass Datendateien Datenobjekte und Daten-Binärdateien enthalten sollten, also im Grunde nur Daten-Bytes. Man erwartet nicht, dass eine Datendatei einen ausführbaren Code enthält. Wir sagten uns also: "Wir sollten versuchen, ein System zu entwickeln, das zwischen Daten und Code unterscheiden kann." Jeder Exploit verwendet Datendateien und fügt Code in die Datei ein. Wenn wir jeden Code in jeder Datendatei erkennen können, dann können wir jeden möglichen Exploit stoppen, ohne dass wir verstehen müssen, was der Exploit ist und worauf er abzielt. Wir machen es anders, weil wir es statisch machen. Man erwartet, dass eine Datei Text, Bilder oder Videos enthält, aber man erwartet nicht, dass sie ausführbaren Code enthält. Das ist der Punkt, an dem die Angreifer diese Schwachstellen ausnutzen.

So könnte ein Text zum Beispiel so aussehen: "Hallo, mein Name ist... Nice to meet you...", aber der ausführbare Maschinencode sieht so aus: push eax, xor ebx, oder in hex: 45 0B 85.

Klingt zu einfach, oder? Es erweist sich als etwas schwieriger, dieses System zu erstellen, weil viele Datenobjekte wie Code aussehen. Um herauszufinden, ob etwas wie Code aussieht, muss man versuchen, es zu zerlegen und zu verstehen, ob es logisch möglich ist oder nicht. Alles wird in Code zerlegt. Aber die Frage ist, ob dieser Code einen Sinn ergibt. Wenn du über die Straße gehst und nach rechts und links schaust und statt vorwärts zu gehen, fängst du an, zurück zu gehen, dann macht etwas keinen Sinn. So ist es auch mit dem Code.

Zunächst gab es viele Fehlalarme, weil vieles wie Code aussieht, es aber nicht ist. Also haben wir das System so entwickelt, dass es erkennen kann, ob der Ausführungsablauf sinnvoll ist - nicht eine einzelne Maschinenanweisung, sondern eine Reihe von Maschinenanweisungen.

Das bedeutet nicht, dass wir sagen, es sei bösartig, und das müssen wir auch nicht. Hier versagen andere Lösungen, denn wenn man versucht, die Guten von den Bösen zu unterscheiden, wird jemand versuchen, sich hinter etwas zu verstecken, das legitim ist. Auf diese Weise lassen sich Sandbox- oder Antivirenlösungen aushebeln. Es geht also nicht um gut oder schlecht. Es geht um das Vorhandensein von etwas, das etwas anrichten kann. Wenn etwas mit einer Datendatei passieren kann, ist es schlecht. Wenn Sie ausführbaren Code in einer Datei finden und überprüfen können, dass dieser Code ausgeführt werden kann, sollten Sie diese Datei nicht öffnen!

Wir sind nicht im Wettlauf mit den Angreifern. Wir brauchen nicht zwischen gut und böse zu unterscheiden. Das macht es für jeden sehr viel schwieriger, unsere Technologie zu umgehen, und das ist für uns ein großes Unterscheidungsmerkmal.