Malver sandboxovi su sastavni dio sigurnosnih aplikacija kao što su otkrivanje upada, forenzika i obavještavanje o prijetnjama, ali njihovo ispravno korištenje je izazovno zbog izbora u implementacijama, tehnikama nadzora i konfiguracijama.
Nepravilna upotreba može negativno uticati na aplikacije kroz lažne pozitivne rezultate, neuvjerljive analize i loše podatke o prijetnjama.
Prethodni radovi ispituju metode dinamičke analize za izgradnju i poboljšanje sandbox-a, tehnika izbjegavanja ili dizajna eksperimenta, ali nedostaje dubina u razumijevanju i konfigurisanju primjene sandbox-a za nove aplikacije.
Ova složenost dominira nestručnim korisnicima u svim disciplinama. Rad premošćuje ovaj jaz proučavanjem preko 350 radova tokom 20 godina kako bi se sistematizovala 84 reprezentativna rada o korištenju sandbox-a.
Predlaže okvir komponenti koji pojednostavljuje implementacije/konfiguracije za detekciju, opservacijske studije i anti-analitske aplikacije.
Smjernice su izvedene od strane sljedećih istraživača sigurnosti sa Tehnološkog instituta Gruzije koji primjenjuju ovaj okvir za sistematizaciju prethodnih radova, pomažući korisnicima da efikasno ugrade sandboxove uz izbjegavanje zamki, za razliku od prethodnih generalizovanih istraživanja:
- Omar Alrawi
- Miuyin Yong Wong
- Athanasios Avgetidis
- Kevin Valakuzhy
- Boladji Vinny Adjibi
- Konstantinos Karakatsanis
- Mustaque Ahamad
- Doug Blough
- Fabian Monrose
- Manos Antonakaki
Malver sandbox konfiguracija
Čini se da su generički sandboxovi posebno ograničeni na poznate porodice zlonamjernog softvera, dok moderni pristupi ne garantuju uvijek očekivane rezultate.
Tehnički, vrijedno je napomenuti da je obaveza transparentnog praćenja usko povezana s ovom tehnikom.
Osim toga, konfigurisana okruženja podržana korisničkim artefaktima mogu se koristiti za poboljšanje rezultata istraživanja.
Bilo bi važno označiti prostor za analizu i model prijetnje i razumjeti kako artefakti utiču na funkcionisanje aplikacije.
Dato je sedam preporuka za poboljšanje sandboxinga na osnovu blok listinga, izdvajanja ponašanja i klasifikacije porodica iz tri eksperimenta koji uključuju 1.471 uzorak zlonamjernog softvera.
Istraživači su smislili literaturu o sandboxu proučavajući preko 300 radova sa najboljih sigurnosnih konferencija u periodu od 20 godina.
Pronašli su relevantne radove pretraživanjem ključnih riječi za dinamičku analizu sandbox okruženja malvera, ručnim praćenjem lanaca citata i iterativnim razvojem skupa pojmova za pretraživanje.
Ovdje ispod smo spomenuli sve metodologije:
- Nalog za izvršenje zlonamjernog koda
- Kvantifikacija izvršenja malvera
- Identifikovanje porodica malvera
Eksperimenti dokazuju da vođeni artefakti sandbox-a poboljšavaju tačnost klasifikacije u poređenju sa nevođenim metodama.
Međutim, ne postoji jedinstveno rešenje koje je dostupno kada je u pitanju konfigurisanje sandbox-a koje naglašava važnost definisanja opsega analize, modeliranja pretnji i prihvatanja ograničenja sandbox-a.
Izvor:CybersecurityNews