Diante do cenário imprevisível de ciberameaças e ataques direcionados, empresas de todos os tamanhos buscam novas formas de se proteger contra vulnerabilidades zero day e brechas decorrentes da ausência de patches virtuais. Usuários e gestores de TI muitas vezes apostam em antivírus e antispywares e se esquecem de uma ferramenta que pode ser bastante eficiente para mitigar o risco de ameaças iminentes, conta Joelson Soares, analista de segurança e ameaças da Trend Micro: a tecnologia de sandbox.
“Uma sandbox é geralmente desenvolvida para simular o ambiente real de uma empresa. Ela cria armadilhas para permitir que o malware execute suas ações em um ambiente totalmente isolado da rede da empresa, e seja bloqueado antes de atingir qualquer máquina”, explica. No entanto, segundo Joelson, à medida em que esse recurso é aperfeiçoado, também os hackers aperfeiçoam seu malware para detectar e escapar de sandboxes.
Como funciona uma sandbox inteligente
“Por causa disso, é cada vez mais necessária uma customização da sandbox. A maioria das empresas não conta com ferramentas de visibilidade de rede e, por isso, não têm a percepção de um ataque no momento em que ele começa. Com isso, aspectos importantes sobre a movimentação ‘lateral’ do atacante após a execução do malware e dados da comunicação com o servidor de comando e controle ficam perdidos”, acrescenta Joelson.
Com o uso de uma sandbox genérica, diz ele, muitas vezes os usuários são também prejudicados pelo ‘falso negativo’: “Um arquivo de origem maliciosa pode transpor barreiras de proteção por meio de técnicas anti-sandbox desenvolvidas pelos hackers e ser avaliado como arquivo limpo. Aguardar cliques aleatórios do mouse ou o acesso a determinado banco são algumas das artimanhas usadas pelos atacantes para também enganar o sistema e implantar malware” diz o especialista.
As smart sandboxes – ou sandboxes totalmente customizadas –, explica ele, têm a capacidade de identificar rotinas e técnicas de evasão, simulando uma máquina em utilização, e assim permitindo que o malware seja executado e detectado.
Em um caso recente, conta Joelson, num ataque envolvendo uma instituição financeira, o malware era executado somente se o Windows fosse em português e se o domínio fosse daquela empresa. Na smart sandbox, foi possível customizar o ambiente para que o malware checasse dados como domínio, licença do sistema operacional, idioma, aplicativos internos instalados, arquivos e pastas, e então finalmente mostrasse todo o seu ‘payload’. Caso a empresa estivesse usando uma sandbox genérica, a ameaça não seria detectada nem bloqueada.
No caso da Trend Micro, esse é o tipo de sandbox disponível no Trend Micro Deep Discovery. Na verdade, a sandbox contém um emulador de virtual ActionScript, pronta para os conhecidos exploits do Flash e scripts rodando em Java, JavaScript e VBScript, por exemplo. Ultimamente, os exploits de Adobe Flash têm aparecido com criptografia pesada, impedindo sua análise pela heurística estática tradicional. No entanto, puderam ser capturados depois de se ‘revelarem’ na sandbox do Deep Discovery.
