03.09.2015, 14:42 Uhr

Check Point bringt den Sandstrahler

Der israelische IT-Sicherheits-Spezialist Check Point Security rüstet seine Sandboxing-Technik auf. Aus dem Sandkasten wird mit SandBlast ein Sandstrahler.
Check Point überarbeitet seine Sandboxing-Technik, um Attacken früher zu erkennen und um Umgehungsmethoden der Hacker zu erschweren. Mit SandBlast, so der Name des frischen Verfahrens, werden die Aktivitäten der CPU überwacht. Dabei wird nach Anomalien Ausschau gehalten, die darauf hinweisen, dass Hacker ausgeklügelte Verfahren verwenden, die sich mit traditioneller Sandboxing-Technik nicht detektieren lassen. Bei traditionellen Sandboxing-Techniken werden Dateien überprüft, indem sie in einer virtuellen Umgebung, also dem Sandkasten, geöffnet werden. Dabei wird beobachtet, was sie tun. Benehmen sie sich anderes, als beispielsweise von Word-Dateien erwartet, kommen sie in Quarantäne und werden genauer auf Malware-Routinen untersucht, respektive geblockt. Leider haben Angreifer in letzter Zeit Methoden entwickelt, um den Sandkasten zu umschiffen. Beispielsweise wurden Schadroutinen so geschrieben, dass sie erst viel später ausgeführt werden, wenn die Überwachung in der Sandbox schon beendet ist oder sie stellen sich schlafend, bis die Maschine, welche infioziert werden soll, neu startet. Vor allem gegen das Verfahren Return Oriented Programming (ROP) hat SandBlast ein Gegenmittel parat. ROP erlaubt es Malware-Code in Daten-Files auszuführen trotz Schutzmassnahmen wie Data Execution Protection (DEP). DEP soll verhindern, dass ausführbare Dateien normalen Files beigefügt werden können. Mit ROP verwenden nun aber Hacker legitime ausführbare Code-Elemente, um einen neue Speicherseite zu erstellen, in die bösartiger Shell-Code nachgeladen werden kann, welcher mit ausführenden Privilegien ausgestattet ist. Laut Check Point soll SandBlast nun aber genau diese Vorgänge erkennen und unterbinden können. Die Lösung ist entweder auf einer Appliance erhältlich, die im Rechenzentrum des Anwenders installiert wird. Daneben lässt sich die SandBlast-Funktionalität auch aus der Cloud beziehen. Weitere Infos finden sich im entsprechenden Blog des Herstellers.



Das könnte Sie auch interessieren