روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ سازندگان عمده‌ی تروجان‌ها برای اجرای کد آلوده‌ی خود روی کامپیوتر قربانیان کلی انرژی و وقت صرف می‌کنند. با این حال، دست‌های پشت پرده‌ی این تهدیدهای پیچیده و حملات APT درست همین اندازه در تلاشند تا مکانیزم‌هایی درست کنند که بواسطه‌ آن‌ها کدشان اجرا نشود. بدین‌ترتیب، آن‌ها می‌توانند فناوری‌های امنیتی را دور بزنند (به طور خاص سندباکس‌ها را).

سندباکس‌ها و تکنیک‌های فرار

یکی از ابزارهای اساسی برای شناسایی فعالیتی آلوده، سندباکس[1] است. در اصل، سندباکس محیطی است کنترل‌شده و ایزوله. راهکارهای امنیتی می‌توانند کد مشکوک را در این محیط اجرا نموده و تمامی عمل‌های آن‌ را بدون اینکه ذره‌ای به سیستم لطمه‌ای وارد شود تحلیل کنند. اگر راهکاری موفق به شناسایی هر کدام از فعالیت‌های آلوده شد، اجرای این کد خارج از سندباکس مسدود خواهد شد.

این روش مهار بالاترین سطح کاربرد خود را در مقابله با تهدیدهای توده‌ای دارد. فروشندگان امنیتی مکانیزم سندباکس را به انواع مختلف در بسیاری از راهکارهای امنیتی خود پیاده‌سازی می‌کنند. بنابرین، مجرمان سایبری دست به توسعه‌ی فناوری‌هایی زده‌اند که یگانه هدفشان تشخیص این است که آیا بدافزار دارد در محیطی کنترل‌شده اجرا می‌شود یا در سیستم عامل واقعی یک ایستگاه کار. ساده‌ترین متودها عبارتند از تلاش برای دسترسی به سروری خارجی (بلاک‌شده توسط سندباکس‌های معمول) یا بررسی پارامترهای سیستم. اگر پروسه درست پیش نرود، بدافزار معمولاً خودش خودش را خراب می‌کند و بدین‌ترتیب هیچ اثری از حمله از خود به جا نخواهد گذاشت. درست همینجاست که کار محققین پیچیده می‌شود. بیشتر تهدیدهای پیشرفته همچنین کاربر واقعی در سیستم را مورد بررسی قرار می‌دهند؛ اگر کد بدون نشانی از فعالیت انسان واقعی در حال اجرا باشد، شاید دارد در سندباکس اجرا می‌شود.

همانطور که انتظار می‌رود، ما نیز در پاسخ به چنین اقداماتی سعی کردیم فناوری‌های ضد فرار خود را تقویت کنیم. زیرساخت ما منحصراً سندباکسی قوی مجهز به مکانیزم‌هایی قادر به امولاسیون محیط‌های مختلف در این راهکارها گنجانده‌اند؛ همچنین دانش گردآوری‌شده‌ی کسپرسکی نیز در خصوص همه نوع فعالیت آلوده‌ی احتمالی نیز به این فناوری‌های ضد فرار تزریق شده است. محققین می‌توانند از طریق راهکار کسپرسکی کلود سندباکسِ ما از بخشی از کارایی سندباکس به صورت ریموت استفاده کنند. اما استفاده از سندباکسی ریموت همیشه هم پاسخگوی شرکت‌های بزرگی که مراکز مختص عملیات‌های امنیتی دارند نیست.

 نخست اینکه، بسیاری از رگولاسیون‌های داخلی و خارجی انتقال هر گونه اطلاعات به سرورهای طرف‌سوم را ممنوع کرده‌اند. این شامل کد آلوده نیز می‌شود. دوم اینکه، بدافزار مناسب حملات روی هر شرکت به صورت جداگانه می‌تواند شرایط مختص یک زیرساخت را مورد بررسی قرار دهد (برای مثال وجود نرم‌افزاری به شدت تخصصی). بنابراین، راهکار ما -Kaspersky Research Sandbox- می‌تواند در بطن زیرساخت سازمانی به کار گرفته شود.

ویژگی‌های کلیدی Kaspersky Research Sandbox

Kaspersky Research Sandbox هیچ چیزی را از زیرساخت انتقال نمی‌دهد؛ در صورت لزوم، می‌تواند از طریق Kaspersky Private Security Network (که در حالت دیود داده[2] کار می‌کند) عمل کند. اما مزیت اصلی‌اش این است که به محققین اجازه می‌دهد تا محیط شبیه‌سازی یا امولاسیون مخصوص به خود را بسازند. این بدان معناست که آن‌ها می‌توانند نسخه‌ی ایزوله‌ی دقیقی از ایستگاه کاری معمولی بسازد؛ ایستگاه کاری که کارمندان از آن در شرکت با نرم‌افزارهای خاص و تنظیمات شبکه‌ای استفاده کرده و رفتار آیتم‌های مشکوک را روی همان کپی مورد بررسی قرار می‌دهند.

علاوه بر اینها، فناوری‌های Kaspersky Research Sandbox نه تنها از تحلیل رفتاریِ پیشرفته‌ای برای ردیابی هرآنچه در این محیط ایزوله رخ می‌دهد استفاده می‌کنند که همچنین فعالیت انسانی را نیز در سیستم تقلید می‌کند. از این رو، سندباکسِ ما انهدام، تحلیل و شناسایی تهدیدهای پیشرفته را میسر می‌سازد حتی اگر آن‌ها منحصراً مخصوص زیرساخت شما باشند. این راهکار می‌تواند ماشین‌هایی را که مایکروسافت ویندوز یا اندروید اجرا می‌کنند شبیه‌سازی کند.

[1] Sandbox

[2] data-diode

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.