Kaspersky krijgt een patent (US1033939301) van het United States Patent and Trademark Office voor een technologie die detectie van malwaregedrag in een eigen ‘proeftuinomgeving’ een stuk eenvoudiger maakt. Waar security-experts nu nog veel handwerk moeten verrichten om de exacte omstandigheden te creëren waarin malware herkend wordt, stelt deze gepatenteerde expertise de onderzoekers in staat een verdacht bestand in één keer te analyseren.
De zogeheten sandboxtechnologie wordt gebruikt om binnen eigen organisaties snel en meer inzicht te krijgen in malwaregedrag. Dit patent wordt toegevoegd aan de inmiddels 814 patenten die Kaspersky heeft in Rusland, China, Europa en de VS. Het cybersecuritybedrijf heeft bovendien nog 407 patentaanvragen uitstaan.
Het octrooi “Systeem en methode voor de analyse van bestanden op kwaadaardigheid in een virtuele omgeving” beschrijft een technologie die automatisch leidt tot bijvoorbeeld een bestand en creëert daarbij de juiste omstandigheden. Malware kan zijn kwaadaardige gedrag niet vertonen als het zich richt op een specifieke toepassing zoals een e-mail account. Die ontbreekt in een ´proeftuin´ ofwel sandbox-omgeving. Om deze uitdaging het hoofd te bieden, moet een onderzoeker logboeken doorzoeken, begrijpen wat er ontbreekt, deze toevoegen aan de sandboxomgeving en het proces opnieuw uitvoeren. Als malware probeert toegang te krijgen tot iets, of het nu gaat om een applicatie, map of bestand, dan onderschept het gepatenteerde systeem deze poging. Het wacht niet tot de uitvoering van het bestand is voltooid, maar pauzeert het proces en maakt zowel de vereiste toepassing als de inhoud zoals browserwachtwoorden. Daarna gaat het proces verder.
De gepatenteerde technologie helpt ook bij het overwinnen van een ontwijkingstechniek. Bijvoorbeeld als malware in een bepaalde periode niet actief is, terwijl de sandboxomgeving nog steeds beschikbaar is. Kaspersky’s technologie forceert de kwaadaardige codes om sneller hun werk te doen. Detectieregels die beschrijven hoe te reageren op een specifieke gebeurtenis zijn niet vooraf geïnstalleerd of geïmplementeerd in de machine, maar kunnen eenvoudig worden bijgewerkt en toegevoegd. Dankzij de gepatenteerde technologie is het niet langer nodig om bij elke nieuwe situatie de sandboxomgeving volledig te veranderen. De virtuele omgeving wordt alleen verrijkt met beschikbare kwaadaardige gedragsscenario’s.
“Cybercriminelen worden steeds slimmer. Dus is het zaak dat ook wij sneller en betere analyses kunnen maken van malwaregedrag. Zo maken cybercriminelen steeds vaker gebruik van slaaptimers om volledig geautomatiseerd toe te slaan op het juiste moment zonder dat daar handen aan te pas komen. Met onze gepatenteerde sandboxmethode en -technologie kunnen we bestandstromen op een intelligente wijze beheren. Dat alles helpt ons om malware nog beter en sneller op te sporen”, vertelt Jornt van der Wiel, security-expert bij Kaspersky. Veel organisaties doen een beroep op ´proeftuin´ omgevingen om zo in een gesloten omgeving te leren welke malwarescenario´s van toepassing kunnen zijn. In zo’n sandbox is het een stuk makkelijker om automatisch scenario´s aangereikt te krijgen die helpen om malwaregedrag direct en volledig geautomatiseerd te kunnen analyseren.