Con la diffusione massiva dei ransomware il mercato dei prodotti di Cyber Security ha iniziato a proporre sempre più frequentemente dei sistemi di protezione che fanno ricorso a delle sandbox in cloud, per riuscire ad individuare tempestivamente i malware più recenti e limitarne la pericolosità.
I sistemi di analisi in sandbox pur basandosi sempre sull’analisi comportamentale, come i sistemi di analisi euristica presenti all’interno delle soluzioni antimalware, permettono di effettuare dei controlli più accurati, sia di tipo statico che di tipo dinamico.
Ad esempio permettono di analizzare il traffico di rete che l’oggetto in analisi tenta di compiere, analizzano l’utilizzo della memoria e le chiamate alle librerie di sistema fatte dall’applicazione con l’obiettivo di analizzarne il comportamento.
I malware più sofisticati sono capaci di capire quando si trovano all’interno di un ambiente di analisi euristico misurando alcuni parametri legati all’hardware, ad esempio viene misurata la quantità di risorse, irrisoria rispetto allo standard di mercato. Un ambiente euristico su una workstation arriva a consumare circa 200 MB di Ram (che per la workstation se non adeguatamente robusta potrebbero essere giù un problema).
Il malware può rilevare l’interazione assente dell’utente, ad esempio il malware può individuare che la posizione del puntatore del mouse dell’ambiente di analisi euristica non cambia durante l’analisi.
Infine la durata dell’analisi ha la sua rilevanza, esistono alcuni esemplari di malware che rimangono inoffensivi per diversi minuti, con l’auspicio che al termine di questo di periodo l’analisi sia terminata ed il malware possa aver concluso la sua “evasione“.
La maggior accuratezza dell’analisi di una sandbox piuttosto che dell’analisi euristica dipende principalmente dalle proprietà dall’ambiente di analisi, che permette di rendere vane le tecniche di elusione degli ambienti di analisi euristica.
Le macchine virtuali che compongono una sandbox approssimano con grande realismo un ambiente reale (pur essendo isolato), su queste macchine viene permesso al malware di manifestare la propria aggressività e ne vengono studiati i comportamenti. Al termine dell’analisi sarà sufficiente il ripristino dello snapshot per ripristinare l’ambiente e prepararsi ad una nuova analisi.
L’approccio di lotta al malware non è una novità, da anni i ricercatori che analizzano i malware ne fanno uso per effettuare l’analisi statica ed individuare le firme da utilizzare per arrestare il malware, la novità è la messa a disposizione al pubblico di questi sistemi.