שליחת יומנים, התראות ונתוני טלמטריה באמצעות דיודה נתונים

גלו כיצד
אנו משתמשים בבינה מלאכותית לתרגום האתר, ועל אף שאנו שואפים לדיוק מרבי, ייתכן שהתרגומים אינם מדויקים במאת האחוזים. אנו מודים לך על ההבנה.
דף הבית/ בלוג / תוכנות זדוניות מתחמקות התפתחו מעבר ל...
מודיעין איומים

תוכנות זדוניות מתחמקות כבר עוקפות את יכולות הזיהוי המסורתיות המבוססות על מכונות וירטואליות

תוכנות זדוניות כבר לא רק מתחמקות מזיהוי, אלא גם לומדות את הכלים שנועדו לתפוס אותן.
עַל יְדֵי OPSWAT
שתף את הפוסט הזה

תוכנות זדוניות מתוחכמות מתוכננות יותר ויותר לזהות ולעקוף סביבות סנדבוקס מסורתיות, מה שמותיר את צוותי האבטחה עם ממצאים שאינם יכולים לסמוך עליהם במלואם. פגיעות קריטית ב-vm2, ספריית סנדבוקסינג נפוצה של Node.js, חשפה לאחרונה סיכון החורג בהרבה מתוכנה בודדת. הפגיעות, שזוהתה כ-CVE-2026-22709 עם ציון CVSS מרבי של 10.0, נבעה מניקוי לא מלא של פונקציות callback בטיפול באב-טיפוס של Promise. תוקף יכול היה לפרוץ את הסנדבוקס לחלוטין ולבצע פקודות שרירותיות במערכת המארחת הבסיסית.

הפגיעות הזו הזכירה לנו כי עמידותה של בידוד תלויה אך ורק בארכיטקטורה שעליה הוא מבוסס. התוקפים מבינים זאת כבר זמן מה, וזו הסיבה שרוב האיומים המתוחכמים כיום מתוכננים לבחון את סביבתם לפני שהם מבצעים פעולות חשודות. הם בודקים אם קיימים סימנים למכונות וירטואליות (VM), מעכבים את הביצוע, בודקים את המיקום הגיאוגרפי או ממתינים לאינטראקציות ספציפיות מצד המשתמש – והכל בתקווה לקבל תוצאה תקינה לפני שיגיעו ליעד האמיתי.

השאלה היא האם סביבת הבדיקה שלכם יכולה בכל זאת לאלץ אותם לחשוף את הקלפים שלהם. במאמר זה נפרט כיצד פועלת התחמקות מסביבת הבדיקה, מדוע הגישות המקובלות מתקשות לעמוד בקצב, וכיצד הדמיית ברמת ההוראות מציעה דרך אמינה יותר להתקדם.

כיצד תוכנות זדוניות מזהות Sandbox

צוותי אבטחת המידע בארגונים מעבדים מדי יום כמויות עצומות של קבצים, החל מקבצים מצורפים לדוא"ל ועדכוני תיקונים, וכלה בהעברות קבצים מנוהלות ושילובים עם צדדים שלישיים. הקבצים הזדוניים מעוצבים יותר ויותר כך שייראו כמו הקבצים הלגיטימיים, לפחות מספיק זמן כדי לגרום נזק.

תוכנות זדוניות מתחמקות מתוכננות להתנהג באופן "נקי" בסביבות ניתוח אוטומטיות, ולחשוף את כוונותיהן רק בנקודת קצה אמיתית. הטכניקות הנפוצות כוללות:

  • Anti-VM מחפש אחר שרידים של מכונות וירטואליות, כלי ניפוי באגים או מפתחות רישום ספציפיים לסביבת בדיקה לפני ביצוע כל פעולה זדונית
  • עיכובים בביצוע הנובעים משינה ממושכת ומלופיות ביצוע מעוכבות, הנמשכות מעבר לחלונות הזמן המקובלים של ניתוח בסביבת בדיקה
  • בדיקות אזוריות התלויות בתוצאות בדיקות אזוריות או בתצורות מערכת, שסביר להניח שאינן קיימות בסביבת ניתוח
  • אריזת הסתרה או הסתרת מטענים רב-שלביים, כך שהשלב הראשון נראה תמים והתנהגות זדונית מתגלה רק בשלב מאוחר יותר

צוותי האבטחה אינם יכולים לבדוק ידנית כל קובץ שסומן, ולכן קביעות אוטומטיות מובילות להחלטות אוטומטיות: לחסום או לאפשר, להכניס להסגר או לשחרר, להעביר לדרג גבוה יותר או לדחות. כאשר סביבת בדיקה (sandbox) מתעתעת, היא לא רק מפספסת איום. היא מוציאה קביעה של "נקי", ושאר תהליך הטיפול סומך עליה. אמון מוטעה זה מסוכן לעתים קרובות יותר מהפער בזיהוי עצמו.

סביבות בדיקה מבוססות מכונה וירטואלית מאבדות את יתרונן מול טכניקות התחמקות מתקדמות

סביבות בדיקה מבוססות מכונה וירטואלית מפעילות קבצים חשודים בסביבה מבודדת ומנטרות את המתרחש. עם זאת, ידוע היטב שתוכנות זדוניות מתקדמות מסוגלות לזהות סביבות אלה ולהימנע מפעילות זדונית עד שהן מגיעות ליעד אמיתי.

לסביבות בדיקה מבוססות מכונה וירטואלית (VM) יש מגבלות מבניות המשפיעות על המהירות, ההיקף והאבטחה:

  • בדיקות נגד תוכנות וירטואליות, טכניקות נגד ניטור באגים ועיכובים מבוססי זמן יכולים להשאיר את התוכנה הזדונית במצב רדום לאורך כל תקופת הניתוח
  • הפעלה וכיבוי של מכונות וירטואליות יוצרים צווארי בקבוק בתהליכי עבודה עם נפח קבצים גדול
  • כאשר סביבת בדיקה מסתמכת על סביבת ריצה משותפת או על סביבה וירטואלית מוכרת, היא יורשת את כל נקודות התורפה הקיימות בסביבה זו, כפי שהמחיש היטב אירוע ה-vm2

תרחיש של Supply Chain בעולם האמיתי

דמיינו עדכון קושחה שגרתי שמגיע דרך פורטל של ספק מהימן. הוא עובר סריקות מרובות, עובר את בדיקת הסנדבוקס מבלי שהתגלה בו התנהגות חשודה, ומאושר לפריסה בכל מערכות הטכנולוגיה התפעולית. מה שהסנדבוקס לא הבחין בו היה מטעין רדום שהוטמע בתוך תוכנת ההתקנה, מטעין שבדק אם קיימים שרידים של מכונות וירטואליות, מצא אותם, אך פשוט לא עשה דבר במהלך הניתוח. במערכת אמיתית, הוא יפעל.

זה לא התרחיש הגרוע ביותר. זה רק משקף את האופן שבו מתוכננות לפעול התקפות הולכות ומתרבות על שרשרת האספקה ועל מערך ההגנה ההיקפי, תוך ניצול הפער בין מה שארגז החול (sandbox) מזהה לבין מה שקורה בפועל בנקודת הקצה המותקפת. סגירת הפער הזה מחייבת גישה שונה בתכלית לאופן שבו מנותחים קבצים.

סביבת בדיקה מבוססת אמולציה מאלצת תוכנות זדוניות לחשוף את עצמן

אמולציה ברמת ההוראות פותרת את הבעיה המרכזית על ידי הסרת הסביבה הזיהויית לחלוטין. במקום להריץ קובץ חשוד בתוך מכונה וירטואלית שתוכנה זדונית יכולה לזהות, היא מדמה את פעולת המעבד ומערכת ההפעלה ברמת ההוראות. בדיקות נגד מכונות וירטואליות אינן מוצאות דבר שיפעיל את האזעקה. עיכובים בזמן מתכלים. והתוכנה הזדונית, שאינה מוצאת סיבה להישאר במצב רדום, מפעילה את המטען המלא שלה תחת מעקב.

זהו העיקרון העומד OPSWATAdaptive Sandbox של OPSWAT. היא פועלת מתחת לרמה שבה פועלות טכניקות התחמקות, ועוקפת אותן באמצעות תכנון ולא באמצעות תצורה.

סביבת בדיקה מסורתית של מכונות וירטואליות לעומתSandbox Adaptive

SandboxSandbox מסורתית מבוססת מכונה וירטואלית
Adaptive Sandbox
עמידות בפני עקיפת אנטי-תוכנה זדוניתמוגבל – ניתן לזיהוי על ידי תוכנות זדוניותניסיונות התחמקות שנבלמו מראש ברמת ההוראות
תפוקהעיכוב בשל אתחול ופירוק ה-VMמעל 25,000 ניתוחים ביום לכל שרת
זיהוי מטען רב-שלבישלבים חלקיים – מתחמקים עשויים שלא להפעילביצוע מלא יכפה ללא תלות בתנאים
גמישות פריסהבדרך כלל בענן או באתר הלקוחCloud, באתר הלקוח, היברידי ומנותק מהרשת
סיכון הנובע משטח התקפה משותףמורשת מסביבת ההפעלה של המארח או משכבת ה-VMנפסל בשל הפרדה אדריכלית
עומק החילוץ של IOCתלוי בהתנהגות הנצפיתיותר מ-900 אינדיקטורים התנהגותיים, חילוץ מעמיק של IOC

על פי בדיקות הביצועים Filescan.io, גישה זו מספקת 48% יותר תוצאות בעלות רמת ודאות גבוהה ו-224% יותר IOCs ביום בהשוואה לשיטות ארגז החול המסורתיות. זהו מדד ישיר לכמות ההתנהגות הזדונית שלא זוהתה בעבר.

מכיוון שהמנוע קל משקל ודטרמיניסטי, ניתן לפרוס אותו באופן מובנה במקום לשמור אותו לניתוח לאחר התרחשות האירוע. תכונה זו הופכת אותו לפתרון מעשי בשערי דוא"ל, בצינורות העלאה לאינטרנט ובתהליכי עבודה של העברת קבצים מנוהלת, שבהם סביבות בדיקה מסורתיות המבוססות על מכונות וירטואליות צורכות משאבים רבים מדי מכדי לפעול בזמן אמת.

מהגשת קבצים ועד מידע מבצעי

סביבת Adaptive Sandbox בשלושה שלבים מובנים שנועדו לחשוף בהדרגה את מה שהקובץ מסתיר. בכל שלב היא מתמודדת עם טכניקות ההתחמקות שניתוח חד-שלבי עלול לפספס:

  1. ניתוח המבנה העמוק מבצע בדיקה סטטית של למעלה מ-120 סוגי קבצים, תוך חילוץ תוכן מוטמע, סקריפטים, מאקרו וקוד-מעטפת לפני תחילת ההפעלה הדינמית.
  2. ניתוחAdaptive מדמה את התנהגות המעבד, מערכת ההפעלה והיישומים כדי להפעיל נתיבי ביצוע, לעקוף בדיקות נגד ניתוח ולחשוף מטענים רב-שלביים מוסתרים.
  3. תהליך החילוץ והדיווח של IOC מייצר פלט מובנה הכולל מדדי התנהגות, ממצאים ברשת ונתוני תצורה, המיועד לייצוא לתהליכי עבודה של SIEM, SOAR, MISP ו-STIX.

שיפור זיהוי תקיפות "יום אפס" באמצעותAdaptive

Adaptive היא אחת מארבע שכבות הזיהוי המשולבות בתוך MetaDefender , הפתרון המאוחד OPSWAT לזיהוי תקיפות "יום אפס". סביבת הבדיקה לבדה מספקת תשובות לשאלות חשובות בנוגע להתנהגות הקבצים, אך תוכנות זדוניות המתחמקות מזיהוי הבהירו כי אין די בטכנולוגיה אחת בלבד.

MetaDefender נבנה על בסיס מציאות זו, ומשלב ארבע שכבות שכל אחת מהן מטפלת בנקודת תורפה שהאחרות אינן יכולות לכסות במלואה בכוחות עצמן. התוצאה היא פסק דין אמין אחד לכל קובץ, המאפשר יעילות זיהוי של 99.9% עבור תקיפות "יום אפס" מבלי להאט את זרימת הקבצים שעליהן מסתמכים תהליכי העבודה בארגון.

צינור הזיהוי של "יום אפס" בן ארבע השכבות

שכבהפונקציה
מוניטין של איוםהשוואת 50B+ חתימות, כתובות IP ודומיינים לצורך זיהוי מקור האיום
Adaptiveמדמה ביצוע כדי לחשוף התנהגות נסתרת ומטענים רב-שלביים, ושולח IOCs שהתגלו לאחרונה למנוע "מוניטין האיומים"
ניקוד איוםמשלב תוצאות ממאגר נתונים, נתוני מוניטין ואינדיקטורים התנהגותיים לציון סיכון יחיד
חיפוש דמיון MLמזהה גרסאות של תוכנות זדוניות, קשרים בין קמפיינים ותשתית משותפת

Sandbox ועד זיהוי לפני ביצוע המונע על ידי בינה מלאכותית

כל גילוי של פגיעות "יום אפס" שאושר בסביבת הבדיקה (sandbox) בתוך MetaDefender מזין את תהליך האימון של Predictive Alin AI, מנוע לזיהוי פגיעות "יום אפס" לפני ביצוע, המנבא כוונות זדוניות עוד בטרם מתרחשת הפעלה. כל איום שאושר מחזק את יכולתו של המודל לאתר את האיום הבא בשלב מוקדם יותר, עוד לפני שהקובץ יגיע לשלב הבדיקה בסביבת הבדיקה.

כך נוצר מעגל משוב רציף בין ניתוח התנהגות מעמיק לבין זיהוי חיזויי לפני ביצוע. סביבת הבדיקה חושפת את מה שהחתימות מפספסות, וממצאים אלה משמשים לאימון מודל החיזוי, אשר לאחר מכן מיירט את הדור הבא של האיומים בגבול הרשת.

חשיפת תובנות מעמיקות יותר לגבי איומים מתוחכמים

סביבות בדיקה מסורתיות המבוססות על מכונות וירטואליות (VM) פותחו עבור סביבת איומים שכבר אינה קיימת. תוכנות זדוניות שתוכננו במיוחד כדי לשרוד את תהליך הניתוח יכולות לזהות את טביעת האצבע שלהן, לעכב אותן ולעקוף אותן.

אמולציה ברמת הפקודה משנה את התמונה. באמצעות פעולה ברמה הנמוכה יותר מזו שבה פועלות טכניקות התחמקות, Adaptive Sandbox את התוכנה הזדונית להתבצע במלואה, ומזרימה את הממצאים המאושרים לתהליך זיהוי שהולך ומשתפר עם הזמן. כי כשמדובר באיומים מבוססי קבצים, לא פחות חשוב איך מבצעים את ההפעלה בסביבת בדיקה, מאשר עצם ההפעלה בסביבת בדיקה.

אם הארגון שלכם מטפל בזרימת קבצים בסיכון גבוה וזקוק לבדיקה מעמיקה שתתמודד עם טכניקות התחמקות מתקדמות, שוחחו עם OPSWAT על האופן שבו האמולציה ברמת ההוראות MetaDefender יכולה לחזק את מערך האבטחה שלכם.

דבר עם מומחה

שאלות נפוצות

מהי פגיעות בריחה מאזור הבדיקה?

בריחה מסביבת בדיקה מתרחשת כאשר קוד זדוני פורץ את גבולות סביבת ההרצה המבודדת שלו ומופעל במערכת המארחת הבסיסית. הפגיעות ב-vm2 (CVE-2026-22709) היא דוגמה עדכנית לכך, הממחישה כיצד סביבות בדיקה המבוססות על סביבות הרצה משותפות עלולות לרשת את נקודות התורפה של הסביבות שעליהן הן נשענות.

כיצד תוכנות זדוניות מתחמקות מזהות מכונות וירטואליות?

תוכנה זדונית מתחמקת סורקת את סביבתה בחיפוש אחר סימנים המעידים על סביבת מכונה וירטואלית, כגון מפתחות רישום ספציפיים, עקבות של תוכנת ניפוי באגים, מזהי חומרה, חריגות בתזמון ואינדיקטורים אחרים הקשורים בדרך כלל לסביבות סנדבוקס. כאשר אינדיקטורים אלה קיימים, התוכנה הזדונית עשויה לדכא או לעכב את פעילותה הזדונית, ובכך לגרום לסנדבוקס להחזיר תוצאה תקינה, שתהליכי אבטחה בהמשך הדרך עשויים להסתמך עליה.

מהי אמולציה ברמת הוראות בניתוח תוכנות זדוניות?

אמולציה ברמת הוראות מדמה את התנהגות המעבד ומערכת ההפעלה ברמה נמוכה בהרבה מזו של סביבות "ארגז חול" מסורתיות המבוססות על מכונות וירטואליות. על ידי הסרת רבים מהמאפיינים ש תוכנות זדוניות נוהגות להשתמש בהם כדי לזהות סביבות ניתוח וירטואליות, היא יכולה לחשוף התנהגות שהייתה נותרת סמויה אחרת, ולשפר את הנראות של ביצוע המטען הנסתר.

במה שונה סביבת בדיקה אדפטיבית מסביבת בדיקה מסורתית המבוססת על מכונה וירטואלית?

סביבות בדיקה מסורתיות המבוססות על מכונות וירטואליות (VM) מריצות קבצים בתוך סביבות וירטואליות, שתוכנות זדוניות מודרניות מצליחות לעתים קרובות לזהות ולהתחמק מהן. Adaptive משתמשת באמולציה ברמת ההוראות כדי לנתח נתיבי ביצוע ברמה נמוכה יותר, ובכך מסייעת לחשוף בדיקות נגד מכונות וירטואליות, עיכובים תזמוניים והתנהגות רב-שלבית שעלולים לחמוק מניתוח קונבנציונלי המבוסס על מכונות וירטואליות.

אילו סוגי קבצים מנתחMetaDefender ?

MetaDefender תומך בניתוח של למעלה מ-50 סוגי קבצים, כולל קבצי הפעלה, סקריפטים, ארכיונים, תוכנות התקנה וקבצי תיקון. כיסוי נרחב זה הופך אותו למתאים במיוחד לסביבות הזקוקות לבדיקה מעמיקה יותר של קבצים כגון חבילות תוכנה, קבצים מצורפים לדוא"ל ועדכונים תפעוליים או הקשורים לשרשרת האספקה.

תגיות:

פוסטים אחרונים

הירשמו ל- OPSWAT ניוזלטר

קבלו את העדכונים האחרונים OPSWAT עדכוני חברה יחד עם מידע על אירועים וחדשות שמניעות את התעשייה קדימה.
הירשם

עקבו אחרינו ברשתות החברתיות Media

לַעֲקוֹב OPSWAT בלינקדאין, בפייסבוק, בטוויטר וביוטיוב שלכם לעוד!

הישאר מעודכן עם OPSWAT !

הירשמו עוד היום כדי לקבל את העדכונים האחרונים של החברה, סיפורים, מידע על אירועים ועוד.
הירשם