Imagine ter investido um bom dinheiro na tecnologia de sandboxing para proteger sua rede de ameaças avançadas e você descobre que ameaças tem a “habilidade” de evadir essa tecnologia? Podemos imaginar como deve ser decepcionante.
Há uma ameaça descoberta recentemente, chamada Trochilus RAT (Remote Access Trojan), que foi criada especialmente para evadir detecções utilizadas por sandboxing e técnicas de detecção tradicionais de malware baseadas em assinaturas.
O Sandboxing é uma tecnologia avançada de prevenção de malware que executa arquivos maliciosos ou desconhecidos em um ambiente isolado e controlado, seja local ou na nuvem, para observar e identificar comportamentos maliciosos e ameaças do código desconhecido antes mesmo deste arquivo ser executado pelo usuário destinatário originalmente.
Há tecnologias de sandboxing de vários fabricantes, seja de maneira embutida ou como um produto autônomo, e elas são bastante importantes. Mas fica claro que elas, por si só, não são suficientes para impedir e detectar ameaças de todas as naturezas.
Importante saber:
- RATs são, normalmente, ferramentas utilizadas por pessoas maliciosas com intenção de comprometer alvos específicos e roubar dados.
- Uma vez instalado em sua rede, um RAT como este pode representar um “back door”, permitindo acesso a informações privilegiadas e confidenciais. Permite, também, novos ataques em outros sistemas.
- A maneira de se detectar RATs de tal natureza (que evadem tecnologias sandboxing) é através de capacidades de detecção que podem identificar o comportamento do malware em um sistema já comprometido.
Baseado no artigo de Patrick Bedwell, AlienVault.