• G DATA. Bízzon a német biztonságban. 1985 óta. | GDPR megfelelő vállalati antivírus megoldások és otthoni vírusirtó szoftverek.
  • Segítség
  • Viszonteladóknak
  • Fiókom
G_DATA_CyberDefense_virusirto_antivirus_logo_40G_DATA_CyberDefense_virusirto_antivirus_logo_40G_DATA_CyberDefense_virusirto_antivirus_logo_40G_DATA_CyberDefense_virusirto_antivirus_logo_40
  • OTTHONRA
    • Védelem Windowsra
      • G DATA Total Security
      • G DATA Internet Security
      • G DATA Antivirus
      • Windowsos termékek összehasonlítása
    • Android és MAC OS X
      • G DATA Mobile Security for Android
      • G DATA Antivirus for Mac OS X
    • Védelem az interneten
      • G DATA VPN
  • CÉGEKNEK
    • VÍRUSVÉDELEM
      • G DATA Endpoint Protection
      • G DATA Client Security
      • G DATA Antivirus
      • G DATA Levelezésvédelem
      • Termékek áttekintése és rendszerkövetelmények
    • INFORMÁCIÓK
      • Általános tudnivalók
      • Licencpolitika
      • Árajánlatkérés
      • Esettanulmányok
      • Vállalati demó igénylése
      • Partnereink
  • VÁSÁRLÁS
  • LETÖLTÉS
  • TESZTEK
  • HÍREK
  • G DATA
  • Segítség
  • Viszonteladóknak
  • Fiókom
0

0 Ft

✕
  • Főoldal
  • Hírek és blogbejegyzések
  • Blogbejegyzés
  • A sandbox nem helyettesíti a víruskeresőt

A sandbox nem helyettesíti a víruskeresőt

2024. 09. 19.
Kategóriák
  • Blogbejegyzés
Címkék
  • elemzés
  • G DATA
  • homokozó
  • sandbox

Az automatikus sandbox-szolgáltatásokat nem szabad „víruskeresőként” kezelni a minták rosszindulatúságának megállapítására. Nem ez a rendeltetésük, és rosszul teljesítenek ebben a szerepkörben.

A kártevők viselkedését elemző szakértőként azt mondhatom, hogy egy sandbox (homokozó) nem tudja önmagában eldönteni, hogy egy minta valóban rosszindulatú-e. A sandboxrendszerek gyakran nem tartalmazzák a teljes környezetet, és rosszindulatúként címkézik fel a viselkedést, amely a legitim fájlokban is előfordul. Ezt túlzott magabiztossággal teszik, mert a víruskereső szoftverekkel ellentétben a tévedésnek nincsenek súlyos következményei.

Ahelyett, hogy a sandboxok „rosszindulatúnak” címkézik ezeket a mintákat, jobb lenne, ha inkább az „érdekes” jelzőt használnák. Példa erre, ha egy játék végrehajtható fájljait billentyűnaplózóként jelölik meg, mert ezeknek be kell olvasniuk azokat a leütéseket, amelyek lehetővé teszik számukra a karakterek vezérlését a játékban. Elemzőként mindig az a kérdés, hogy ez elvárt viselkedés egy ilyen alkalmazásnál, vagy eltér a megszokottól?

A sandbox jelentésekben szereplő számos következtetés szintén korlátozott értékű. Az igazán fontos ilyenkor annak megértése, hogy miért vonták le ezeket a következtetéseket, és milyen adatok támasztják alá őket. A „játék”-példát ismét felhasználva több mutatóból is levonható a „billentyűleütések naplózása” következtetés. Hogy néhányat említsünk:

  • olyan karakterláncokat tartalmaz, amelyeket jellemzően a billentyűzetfigyelők rögzíteni szoktak, például “[ENTER]”,
  • olyan importokat tartalmaz, amelyek a billentyűleütések figyelésére használhatók,
  • a minta olyan API-kat hív meg, amelyek a billentyűleütések felismeréséhez kapcsolódnak,
  • a mintában ismert, rosszindulatú keylogger kódmintája található,
  • a mintát az antivírus szkennerek keyloggerként észlelik,
  • a mintának van egy hibakeresési útvonala, amely tartalmazza a „keylogger” szót,
  • a minta kidobott egy billentyűleütéseket tartalmazó fájlt a sandbox futtatása során.

A fenti mutatók bármelyike jelezheti, hogy rosszindulatú kóddal van dolgunk. De nekem, mint kutatónak számít, ha a minta billentyűleütésekkel dobott ki egy szöveges fájlt, vagy csak olyan importot tartalmaz a fejlécében, amelyet esetleg soha nem fognak használni. Emiatt általában kihagyom a következtetéseket, és egyenesen a tényekre térek rá, amikor a sandbox-jelentéseket olvasom.

Hibára hajlamos minták

Néhány példa, amely általában helytelen ítéletekhez vezet az automatikus sandbox rendszerekben:

  • Olyan programok, amelyek nem futnak, mert előzetes beállítást igényelnek (vagy hiányoznak a sandbox-rendszer egyéb környezeti elemei) – a sandbox-rendszerek ezekben az esetekben nem tudnak sok hasznos információt kinyerni.
  • Az anti-sandbox technikák miatt nem futó rosszindulatú programok tisztának tűnhetnek.
  • Számítógép-javító szoftver, amely töröl, lekérdez, módosít bizonyos rendszerleíró kulcsokat és fájlokat – ez a viselkedés kontextusból kiragadva gyanúsnak tűnhet.
  • Biztonsági mentést végző szoftver, mivel viselkedése a zsarolóprogramokhoz hasonlít (nagyszámú fájlt módosít, és gyakran más néven menti el ezeket).
  • Tisztítsa meg a virtuális gépeket észlelő programokat – mivel a virtuálisgép-ellenes technikák jelenléte gyakran elegendő ahhoz, hogy rosszindulatúnak ítéljenek meg egy fájlt. 
  • Olyan szoftver, amely védelmi mechanizmusokat alkalmaz, mivel ezek rosszindulatú programnak vagy elrejtési technikáknak tekinthetők.
  • Olyan programok, amelyek eltávolítják a víruskereső szoftvereket, mivel összetéveszthetők a vírusvédelmet letiltó rosszindulatú programokkal.
  • Potenciálisan nemkívánatos programok (PUP) – a sandbox rendszerek gyakran nem tesznek különbséget a PUP és a rosszindulatú programok között, és ugyanazt jelzik.

Víruskeresők a homokozóban

Az automatikus sandbox rendszerek gyakran támaszkodnak a vírusvédelem észlelési arányaira, mint az általános pontszámuk fő tényezőjére. Gyakran ugyanazokat a jellemzőket értékelik, amelyek kezdetben befolyásolták a víruskeresők döntését.

Mindez nem könnyen beállítható, mert a víruskereső rendszerek fekete dobozok. A sandbox rendszerek nem tudják pontosan felmérni, hogy mikor rendelnek túl nagy súlyt bizonyos viselkedésekhez vagy indikátorokhoz, azért mert a víruskereső már használta őket, és nem tudják finomhangolni a saját viselkedésüket. A víruskeresők riasztási aránya inkább jelent megoldást a nem észlelt minták kezelésére.

Amiben ezek a sandbox-rendszerek kiválóak, az az osztályozás – a mutatók és a további elemzésre érdemes pontok listája összeállítása. Ezek azonban szakértők által használható rendszerek, ellentétben a víruskeresőkkel, amelyek a rosszindulatúság megállapításának elsődleges – nem szakértői – módszerei.

Az elfogultság elleni küzdelem

Szeretném, ha az automatikus sandboxig rendszerek felhagynának azzal, hogy úgy tesznek, mintha a pontszámuknak valódi jelentősége lenne, és ehelyett rendszereiket azokra a szakértőkre szabnák, akiknek szükségük van rájuk – ahelyett, hogy a víruskeresők helyettesítőjeként reklámoznák magukat. 

Sajnos azonban a sandbox-szállítók számára a nem szakértők szélesebb közönségének bevonása logikus üzleti szempontból, így ez valószínűleg nem fog változni.

Reálisabb kívánság a sandbox gyártókkal szemben a pontozás bevezetése, és az ítéletek és a következtetések letiltása. A nagy piros figyelmeztető színek és a „rosszindulatú” jelzőfények elfogultságot eredményeznek a rosszindulatú programok elemzőiben, különösen azokban, akik újak a területen. De még a tapasztaltabb elemzők esetében sem szabad alábecsülni a hatást.

Mivel én magam sem tudom kikapcsolni, aktívan igyekszem ellensúlyozni ezt az elfogultságot azzal, hogy kihívás elé állítom magam, hogy bizonyítékot találjak az ellenkező ítéletre. Néha belsőleg lefordítom a „rosszindulatú” szót „érdekes mutatók”-ra, a „tiszta” kifejezést pedig a „semmi érdekeset nem találtam”-ra, mert tapasztalataim szerint ezek pontosabbnak tűnnek.

A cikk szerzője:
Karsten Hahn, Principal Malware Researcher, G DATA CyberDefense AG.

A cikkhez a lap alján tud hozzászólni, és mások hozzászólásait is ott olvashatja.

Ha tetszett a cikk:

Megosztás

Ne felejtsen el feliratkozni hírlevelünkre:

Megosztás

További cikkek

2025. 05. 22.

Az FBI és az Europol megzavarta a több mint 10 millió aktív fertőzésért felelős Lumma kártevő hálózatát


Tovább
2025. 02. 1.

A Meta szerint WhatsApp üzeneteken keresztül támadtak meg újságírókat 


Tovább
2025. 01. 22.

Miért van szükség vírusirtóra?


Tovább

Vélemény, hozzászólás? Válasz megszakítása

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Keresés a cikkek között

Legújabb cikkek

  • 0
    Az FBI és az Europol megzavarta a több mint 10 millió aktív fertőzésért felelős Lumma kártevő hálózatát
    2025. 05. 22.
  • 0
    A Meta szerint WhatsApp üzeneteken keresztül támadtak meg újságírókat 
    2025. 02. 1.
  • 0
    Miért van szükség vírusirtóra?
    2025. 01. 22.
  • 0
    Az automatikus elemzések határai
    2025. 01. 17.
  • 0
    Orosz beavatkozás miatt érvénytelenítették a román elnökválasztás első fordulóját
    2024. 12. 11.

Értesüljön híreinkről

Válassza ki, hogy milyen hírek érdeklik Önt:

Kategóriák

  • Blogbejegyzés
  • Lakossági tudásbázis
  • Sajtóközlemény
  • Vállalati hírek
  • Vállalati tudásbázis
  • Viszonteladói hírek

Címkék

adathalászat adatszivárgás adatvédelem Adobe Android Apple BankGuard Bitcoin botnet csalás deepray Facebook fbi G DATA GDPR Google hacker Instagram iOS IOT iPhone Jelszó kiberháború kibertámadás koronavírus Kriptovaluta kártevő kémprogram Linux Management Server mesterséges intelligencia MI Microsoft Oroszország OS X Patch Management spam sérülékenység torrent trójai Ukrajna Virus Bulletin Windows zsarolóvírus átverés

Lakossági vírusirtók

Windowsos szoftverek

> G Data Antivirus

> G Data Internet Security

> G Data Total Security

Andoridos szoftverek

> G Data Internet Security for Android

OS X (Mac) szoftverek

> G Data Antivirus for Mac

Vállalati antivírus

Vállalati vírusvédelem

> G Data EndpointProtection

> G Data ClientSecurity

> G Data AntiVirus

Levelezésvédelem

> G Data Levelezésvédelem

Hasznos linkek

Facebook és Twitter

> Csatlakozzon hozzánk a Facebookon

> Iratkozzon fel hírlevelünkre

> Vírusirtó tesztek

> Affiliate Partner Program

Kapcsolat

Elérhetőségek

> Terméktámogatás

G Data e-mail címE-mail címünk:

tamogatas (kukac) virusirto.hu

G Data telefonszámTelefonszámunk:

+36 800 88 528

H-P, 11.00 – 16.00

Nemzetközi terméktámogatás:

+36 1 999 6709
(angol és német nyelven, 0-24)


A G Data vírusirtó szoftverek díjai

Felhasználási feltételek és impresszum | Adatkezelési tájékoztató | Sajtókapcsolat |© Vírusirtó.hu - G Data Antivirus

✕

Belépés

Elfelejtett jelszó?

Fiók létrehozása?

G DATA Magyarország
Sütik kezelése

A legjobb élmény biztosítása érdekében olyan technológiákat használunk, mint a sütik az eszközadatok tárolására és/vagy eléréséhez. Ha beleegyezik ezekbe a technológiákba, akkor olyan adatokat dolgozhatunk fel ezen az oldalon, mint a böngészési viselkedés vagy az egyedi azonosítók. A hozzájárulás elmulasztása vagy visszavonása bizonyos funkciókat és funkciókat hátrányosan érinthet.

Funkcionális Always active
A technikai tárolás vagy hozzáférés feltétlenül szükséges a felhasználó által kifejezetten kért meghatározott szolgáltatás igénybevételének lehetővé tételéhez, vagy kizárólag a kommunikáció elektronikus hírközlő hálózaton történő továbbításának végrehajtásához.
Preferenciák
A technikai tárolás vagy hozzáférés a felhasználó által nem kért preferenciák tárolásának legitim céljához szükséges.
Statisztika
Az a technikai tárhely vagy hozzáférés, amelyet kizárólag statisztikai célokra használnak. The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
A technikai tárhely vagy hozzáférés szükséges ahhoz, hogy felhasználói profilokat hozzanak létre reklámküldéshez, vagy hasonló marketing célból követhessék a felhasználót egy webhelyen vagy több webhelyen.
Manage options Manage services Manage {vendor_count} vendors Read more about these purposes
View preferences
{title} {title} {title}