Norman til krig mot ny skadevare

Norman møter kundenes behov for å raskt kunne identifisere og analysere nye former for skadevare med nye Malware Analyzer G2 Platform (G2). Programpakken er beregnet på kunder som har behov for å utføre egne sikkerhetsanalyser av programvare på Windows.

Einar Oftedal, teamleder for Norman Malware Detection Team, sier til Computerworld at det er skremmende mye skadevare som lages. Han kaller skadevare for digitale våpen.

- Vi mottar rundt 85.000 unike malware hver dag. Det er enormt. Vi ser mye som brukes av kriminelle, men også stadig mer målrettet malware for spionasje. De som har peiling på sikkerhet, vet hvor ofte de blir angrepet. De som ikke har kontroll på sikkerhet er de som sier de ikke har noen hendelser. Desto større sikkerhetsteam, desto flere hendelser blir oppdaget, sier Oftedal.

Egenanalyse

G2 er utviklet for å hjelpe virksomheter å møte trusselen fra ondsinnet programvare, særlig større bedrifter innen bank og finans, samt myndighetene. Dette er alle virksomheter som ikke har nok med å vite at skadevare har vært på ferde, men også har behov for å vite om noe ble stjålet, og ikke minst hva som ble stjålet.

- Antivirus vil blokkere skadevare, men det er ofte ønske om detaljer rundt hva skadevaren faktisk gjør, sier Oftedal.

Normans produktpakke vil følge de mange stegene skadevaren går igjennom nøye. Dersom den kontakter et nettsted, så vil man få komplett informasjon om hva den gjør, hvilke adresser den kontakter og ikke minst hva som sendes og hva som mottas.

- Vi ser en klar trend at man anskaffer et slikt system som G2 etter man er blitt rammet, slik at det ikke skal skje igjen.

To sandkasser i én

Vanligvis må sikkerhetsforskere velge mellom to trygge sandkasser når de skal undersøke ondsinnet programvare. Emulering, som vanligvis brukes til forskning av trusselbilde, og virtualisering som brukes for å simulere et infisert system.

Oftedal forteller at G2 benytter to typer sandkasser for å identifisere ondsinnet programvare og teste hva slags skade en kan gjøre i et system. Systemet kan også utføre dyptgående analyser av mistenkelige filer

- Vi kan laste opp en fil til systemet. Den blir analysert i en tradisjonell sandkasse som er utviklet av Norman. Den er basert på en emulator, og vi har full kontroll på alt som skjer der inne. Det er et 100 prosent emulert miljø, sier Oftedal.

- Samtidig sendes koden til Intellivm, et tredjepart VM som er 100 prosent instrumentert av oss. Det vil si at skadevaren kjører på et ekte system, men med full overvåking så vi ser alt den gjør. Ulempen er at vi ikke kontrollerer miljøet 100 prosent slik vi kan med emulering. Men kombinasjonen av de to er unik, man får full oversikt over hva malwaren gjøre. Ingen konkurrenter gjør det vi gjør, fortsetter Oftedal.

Hybrid

Norman refererer til denne teknologien som “hybrid sandboxing” - en kombinasjon av emulerte og virtualiserte miljøer. Samtidig bruker systemet Normans Intellivm med integrert Kernelscout, noe som muliggjør oppdagelse av ondsinnet programvare på et svært dypt nivå.

- G2 systemet gir informasjon om ukjente filer, blant annet via regler som vi har sett i vår lab. Dette legges inn som filter fra oss, sier Oftedal.

Demoversjonen Computerworld fikk se kommer med to filtre, men flere vil bli shippet med det ferdige versjonen. Filterene vil også bli oppdatert etter hvert som det er nødvendig.

G2 systemet stiller med en nettfrontend som gjøre det mulig for brukere å analysere kodesnutter. Les mer på neste side!