Segundo a Kaspersky Lab, explorar falhas internas em programas legítimos de software tornou-se a ferramenta favorita dos hackers, uma vez que estas actividades maliciosas podem ser facilmente camufladas em processos legítimos, o que dificulta a detecção de todo o malware até pelas equipas de cibersegurança mais experientes.
Com o Kaspersky Cloud Sandbox, ferramentas de detecção e de análise forense estão disponíveis como um serviço dentro do Portal Kaspersky Threat Intelligence, «garantindo que as equipas de cibersegurança se mantêm dentro do seu orçamento ao mesmo tempo que beneficiam de tecnologia avançada».
De forma a atrair o malware e fazê-lo revelar o seu potencial, a tecnologia sandbox deve, de acordo com a Kaspersky Lab, incluir técnicas avançadas anti-evasão. O Kaspersky Cloud Sandbox aplica várias técnicas onde imita o utilizador, como cliques, scroll por documentos, processos de rotina específicos que dão ao malware a hipótese de se expor, parâmetros aleatórios do ambiente do utilizador, entre outros.
Assim que o malware começa as suas actividades de destruição, o Kaspersky Cloud Sandbox utiliza o seu subsistema de logging para interceptar acções maliciosas de forma não invasiva.
Quando um documento começa a comportar-se de forma suspeita – por exemplo, se começa a criar um string na memória do computador, a executar comandos Shell ou a reduzir os seus payloads – as suas acções são registadas no subsistema logging do Kaspersky Cloud Security, que tem a capacidade de detectar uma grande quantidade de eventos maliciosos, onde se incluem DLLs, registo e modificação de códigos registados, pedidos HTTP e DNS, criação, modificação e eliminação de ficheiros, etc.
O cliente recebe depois um relatório com gráficos de dados e screenshots, bem como um registo das actividades sandbox.
APIs que automatizam a sua integração em operações de segurança de clientes também estão disponíveis, permitindo às equipas de cibersegurança «reforçar as suas investigações a incidentes em minutos».
«Com as empresas a serem cada vez mais alvo de ciberameaças, a necessidade de uma rápida resposta a incidentes e de uma análise forense digital é maior que nunca. O Kaspersky Cloud Sandbox é um acréscimo importante ao ecossistema global de inteligência de ameaças da Kaspersky Lab, que lida com estes desafios. Ao complementar a vasta inteligência de ameaças disponível para os clientes do Portal Kaspersky Threat Intelligence, o Kaspersky Cloud Sandbox torna-se num serviço único para a análise detalhada de ficheiros, o que permite às equipas SOC e aos investigadores de cibersegurança obter uma visão mais profunda do comportamentos dos ficheiros sem qualquer risco para a infraestrutura TI, afirmou Nikita Shvetsov, Director de Tecnologia da Kaspersky Lab.
Via Kaspersky Lab.
