Sandboxing adalah teknik yang digunakan untuk memungkinkan malware mengeksekusi dalam lingkungan yang terkendali dan terkendali. Namun lingkungan ini perlu terlihat nyata bagi perangkat lunak untuk mempelajari dan mengamati perilaku normalnya, namun, jika ada perilaku atau karakteristik yang salah terdeteksi, maka akan dikarantina atau dihapus.

Singkatnya, Anda dapat melihat kotak pasir sebagai jalan masuk bebas ke malware, Anda dapat melakukan hal Anda tetapi dalam skenario yang terkendali, dengan tujuan untuk meniru lingkungan operasi pengguna akhir sebanyak mungkin. Ini adalah praktik yang baik untuk mengeksekusi kode buruk tanpa mengambil risiko terlalu banyak.

Banyak perusahaan menggunakan antivirus dan firewall generasi berikutnya untuk teknik sandboxing yang lebih luas. Contoh yang sangat terkenal adalah solusi SonicWall yang merupakan platform jaringan atau pemblokir APT. Sekali lagi, skenario.

Anda mungkin berpikir, mengapa firewall? Ya, sangat umum untuk menemukan banyak penekanan pada keamanan jaringan di kotak pasir, tetapi Anda dapat menemukan variasinya. Namun, sandbox dapat berupa implementasi sistem penuh (server lengkap), atau OS yang ditiru atau divirtualisasi.

Jika perusahaan Anda menggunakan firewall tingkat lanjut, jelas bahwa Anda juga akan memiliki filter intrusi. Saat data masuk, Anda dapat mencari atau menjalankan tahapan pemrosesan. Sebagai contoh:

  1. Kenali pemfilteran sumber malware Anda (daftar hitam situs buruk)
  2. Terapkan beberapa dekripsi SSL dan pemfilteran berbasis tanda tangan. Ini secara aktif menghapus file dengan hash, kemudian menganalisis konten dan koneksi.
  3. Setelah kedua langkah sebelumnya selesai, selanjutnya dilakukan analisis sandbox, yang terdiri dari evaluasi perilaku perangkat lunak, pustaka, modul, dan sumber daya apa pun yang ada secara mendalam.

Menggunakan sandboxing terintegrasi terkadang bisa membuat pusing kepala karena mode pasifnya. Hal ini dengan mudah memungkinkan konten untuk melewatinya, dan malware dapat menyebar sebelum tindakan diambil. Hash malware mungkin tidak efektif melawan malware polimorfik

Sandbox jauh lebih maju dalam mengevaluasi malware berbasis tanda tangan, tentu saja, mereka dapat menanganinya, tetapi sekarang mereka didukung dengan IA, pertahanan dan definisinya hanya akan sebaik model yang mendukung solusi tersebut. Namun, ini adalah maraton tanpa akhir.

Pembuat kode malware masih dapat menghindari lingkungan kotak pasir, hal ini didasarkan pada kreativitas mereka tetapi ada beberapa teknik yang dikenal untuk melakukannya, teknik yang layak disebutkan untuk mendeteksi kotak pasir (berbeda dari skenario sebenarnya), mengeksploitasi desakan dan kelemahan dari kotak pasir itu sendiri, atau pengaturan beberapa pemicu atau “bom logika” yang dapat memicu instruksi tertunda.

Karena sandboxing dapat dianggap sebagai mekanisme studi perilaku malware, kita dapat langsung beralih ke rekayasa baliknya. Jika Anda belum familiar dengan istilah ini, ini adalah teknik yang digunakan untuk mundur dari perangkat lunak yang dapat dieksekusi dan merekonstruksi dasar elemen dan kemampuan kode yang dapat dimengerti.

Hal ini biasanya dilakukan ketika sumber kode yang dapat dieksekusi tidak tersedia.

Secara pribadi, Rekayasa balik adalah topik tersulit dalam perangkat lunak, titik. Hal ini memerlukan dasar yang kuat dari kode tingkat rendah dan bahasa assembler. Jika Anda menyukai pengkodean malware, atau jika Anda seorang pengembang berpengalaman, Anda harus memahami jaringan dan kriptografi, terlebih lagi dengan persistensi. Dibutuhkan investasi waktu yang besar untuk memahami apa sebenarnya yang dilakukan malware tersebut.

Konteks rekayasa balik malware pada dasarnya mempelajari teknik infeksi, eksploitasi, dan eksfiltrasi perangkat lunak. Hal ini tentu saja membutuhkan lingkungan yang terkendali di mana Anda dapat menganalisisnya… Baiklah, halo, Tuan Sandbox!

Analisis perangkat lunak dapat dilakukan dalam dua mode. Analisis statis lebih dari sekadar membongkar program. Dan analisis dinamis adalah saat program dijalankan dan perilakunya dipantau.

Lab pengujian untuk rekayasa balik harus melampaui lingkungan virtualisasi yang mungkin kita gunakan untuk pengujian penetrasi, menjadi sebuah sandbox yang lebih kuat yang menghentikan atau setidaknya memberikan kontrol yang kuat untuk setiap interaksi eksternal oleh malware.

Cara yang baik untuk memulainya adalah dengan membuat sistem sandbox rekayasa balik yang terisolasi tanpa internet, dan jika tidak bisa, coba setidaknya di luar jaringan rumah Anda.

Dengan mengingat semua hal ini, Anda dapat meningkatkan analisis malware Anda dengan analisis manual, statis, interaktif, atau otomatis, yang masing-masing akan memberikan manfaat dan menargetkan kriteria evaluasi tertentu.

Kedua elemen tersebut saling berhubungan jika Anda cukup penasaran untuk meneliti malware dan cara kerjanya. Keamanan dan Malware berkembang setiap hari, dan trennya akan menjadi malware yang lebih canggih saat Anda membaca ini.

Selalu perbarui diri Anda, dan didik diri Anda sendiri untuk menghindari infeksi.

Selamat berburu :)