Sie sind hier: HomeTelekommunikation

IT-Sicherheit: Sandboxes Wunderwaffen gegen Ransomware?

Sandboxes bezeichnen in der IT-Sicherheit abgeschottete, virtuelle Umgebungen, die dazu dienen, Schadcodes zu stoppen, bevor sie Endgeräte und Netzwerke infizieren. Im Gegensatz zu Viren- und Malicious-Code-Scannern schützen sie auch gegen unbekannte Bedrohungen.

Totenkopf in 3-D-Optik Bildquelle: © Grandeduc_123rf

Cyberkriminelle nutzen heutzutage ausgereifte Tools, mit denen sie sehr einfach Schadsoftware entwickeln und individuell auf einen Angriffspunkt zuschneiden. Über Webseiten, bei denen man Dateien online auf Schädlinge untersuchen lassen kann, testen sie, welche Antivirenscanner ihre Bedrohung erkennen – dann wird so lange angepasst, bis keine Lösung die Schadsoftware mehr identifiziert. Scanner schützen nur vor Schadprogrammen, deren Muster ihnen bekannt ist, und sind mit neuen Codes leicht zu überlisten. Hier kommen Sandboxes ins Spiel, denn sie erkennen auch Bedrohungen, deren Signatur noch unbekannt ist. Damit bieten diese Sicherheitslösungen aktuell den effektivsten Schutz vor Malware – und können eine Infizierung mit gefährlichen neu auftretenden Verschlüsselungstrojanern wie etwa Wannacry verhindern.

Schadprogramme ködern
Eine Sandbox ist eine virtuelle, abgeschottete Umgebung. Lädt ein Nutzer etwas von einer Webseite oder den Anhang einer E-Mail herunter, wird die Datei dorthin umgeleitet und ausgeführt. In diesem abgekapselten Raum laufen anfällige Betriebssysteme als Köder, meist Windows-Versionen, in denen Makros erlaubt sind. Schlecht gepatchte Versionen von Flash, Acrobat Reader und Standard-Office-Produkten führen die eingehenden Dateien aus. Sie sollen ein leichtes Ziel für die Malware darstellen.
Die Sandbox führt die zu überprüfenden Dateien aus und sucht nach ungewöhnlichem Verhalten. Dazu gehören Änderungen an der Registry, insbesondere an kritischen Registry-Keys, und der Austausch von Programmen oder DLL (Dynamic Link Library). Verdächtig ist auch, wenn Autostarts installiert und Komponenten ausgetauscht oder umbenannt werden. Wenn eine Datei Softwarekomponenten nachlädt, um sich im Netz weiter auszubreiten, stuft die Sandbox diese Aktion als gefährlich ein. Erst recht, wenn es sich bei den nachgeladenen Komponenten um bekannte Malware Tools handelt.
Die Überprüfung durch die Sandbox läuft ab, während der Nutzer den Download vornimmt. Ziel ist es, die Gefahr zu erkennen, bevor der Schädling das System über den Nutzer erreicht. Eine Schadsoftware ist jedoch unter Umständen so programmiert, dass sie nicht sofort angreift. Deshalb ist meist ein Zeitbeschleuniger Teil der abgekapselten Umgebung. Zudem wird der Download beim Benutzer verlangsamt, um so Zeit zum Analysieren der Dateien zu gewinnen. Hat eine untersuchte Datei den abgeschotteten Raum manipuliert, kann dieser nicht mehr für die nächste Prüfung eingesetzt werden. Die Sandbox-Instanz wird dann vom System automatisch für die nächste Prüfung neu aufgesetzt.

Täuschen und tarnen
Welche Sandbox wie genau funktioniert, ist nicht bekannt. Die Hersteller behalten Details für sich, denn diese würden auch potenzielle Angreifer nutzen. Sie könnten Malware anhand dieser Informationen so programmieren, dass sie die Sandbox überwindet. Dennoch bestehen Unterschiede, die bei der Entscheidung für oder gegen eine bestimmte Art der Sicherheitslösung helfen.
Wichtig für Anwenderunternehmen ist, welche Dateitypen die Sandbox überhaupt prüft – diese Information lässt sich von den Herstellern erfragen. Im Allgemeinen testen sie solche, die als problematisch bekannt sind. Dazu gehören beispielsweise Programm-, PDF-, Office- oder Flash-Dateien. Grundsätzlich wird eine Bedrohung nur dann erkannt, wenn die potenzielle Malware in der Sandbox aktiv wird. Cyberkriminelle programmieren Malware unter Umständen jedoch so, dass sie dort nicht auslöst, weil das Schadprogramm die abgeschottete Umgebung registriert. Eine effektive Sandbox verbirgt sich vor der Schadsoftware und animiert diese, sich zu zeigen.