ATP im Detail: Sandbox Engine

Geschätzte Lesedauer: 1 min

Die Sandbox Engine ist Systemverbund, der aus mehreren gesicherten virtuellen Maschinen besteht. Dieser öffnet verdächtige E-Mails, um enthaltene Links oder Anhänge auf Schadcode zu prüfen. Hierbei werden Ergebnisse über die Statik, das Verhalten und das orientierte Netzwerk zu ermitteln und in einem ausführlichen Report festgehalten, welcher sich bei Bedarf zur IT-forensischen Beweissicherung benutzen lässt. So werden bei der Beweissicherung PCAP Netzwerktraffic dumps, Memory dumps vom Malware Prozess bis zu Screenshots bei der Ausführung erstellt.

Auf diese Weise ist es möglich bereits bekannte und unbekannte potentielle Gefahren in einer sicheren und angepassten Umgebung ohne das einer Bedrohung für das Zielnetz vorliegt und den E-Mail- Empfänger analysieren.

Die Sandbox Engine setzt die folgenden Analysemethoden ein:

  • Die statische Analyse beinhaltet Vergleiche mit bekannten Signaturen (mehr als 20 Antiviren-Engines), Metadaten sowie Schlüsselwörter bekannter ein Vergleich mit bekannten Signaturen (Abgleich mit mehr als 20 Antiviren-Engines), Metadaten sowie Keywords bekannter Schadsoftwaren.
  • Die Analyse des Verhalten der Anhänge und Links kann Versuche Virtualisierungschichten, Änderungen in der Registry, (System-) API-Calls, versteckte Threads, Kommandos und Dienste erkennen.
  • In der netzwerkbasierten Untersuchung werden DNS Server, Command and Control Server und Websites Verbindungen zum Nachladen zu Malware festgehalten.

Insgesamt kann man sagen, dass man mithilfe des Sandbox Engine innerhalb weniger Minuten eine vollständige Analyse des Gefahrenpotentials einer Datei oder eines Links feststellbar ist.

War dieser Artikel hilfreich?
Dislike 0
Views: 12