Analyse von ICS-Malware per
Sandbox
Noch eine Besonderheit von CyberX: Speziell entwickelt für ICS-Malware, findet die Sandbox-Lösung von CyberX für Sie sofort heraus, ob verdächtige Dateien auf OT-Assets zielen.
VERDÄCHTIGE DATEIEN? HÖREN SIE AUF MIT DEM RÄTSELRATEN
Sandbox-Systeme für IT-Malware gibt es seit Jahren – aber für OT-spezifische Malware wie TRITON und Havex sind sie nicht geeignet.
Der Grund liegt darin, dass eine IT-Sandbox keine OT-typischen Laufzeitkomponenten simuliert, die für die vollständige Ausführung von OT-Malware nötig sind – wie etwa OT-Libraries (Tristation, OPC usw.), Services, SPSen, Registry Keys, DLLs usw.
Die Analyse-Sandbox für ICS-Malware von CyberX allerdings virtualisiert eine komplette OT-Umgebung. Deshalb kann sie OT-spezifische Malware schnell und automatisch identifizieren und deren IOCs genau bestimmen. Außerdem ermöglicht sie einen Austausch von Threat-Intelligence-Daten innerhalb der globalen ICS-Community.
Sie können verdächtige Dateien mit einem einzigen Klick an unseren Cloud-gestützten Service schicken und sofort herausfinden, ob die Malware auf OT-Assets zielt – und wie genau sie sich darauf auswirkt. Darüber hinaus erhalten Sie eine Liste von Netzwerk- und Host-bezogenen IOCs, die zur Malware gehören.
Der branchenweit einzigartige, subskriptionsbasierte und automatisierte Service von CyberX wurde speziell für ICS-Malware konzipiert und funktioniert sogar mit Malware, die zuvor noch nie beobachtet wurde (Zero-Day-Malware).
Dieser Ansatz ermöglicht es Ihrem SOC-Team, die Analyse von ICS-spezifischer Malware auf einfache Weise in bestehende IR-Workflows einzubetten. Es müssen auch keine OT-Malware-Experten eingestellt oder bereits zum Team gehörige Tier-3-Analysten darin geschult werden, der OT-Malware mit selbst erstellten Skripten oder traditionellen Tools per Reverse-Engineering auf den Grund zu gehen.
DIE FUNKTIONSWEISE
Die Cloud-basierte Sandbox von CyberX profitiert vom umfangreichen ICS-Know-how und vom umfassenden Wissen der CyberX-Spezialisten über ICS-Protokolle, -Geräte und -Anwendungen. Auf dieser Basis kann sie eine virtuelle ICS-Umgebung zur Verfügung stellen, in der sich vermutliche ICS-Malware ausführen lässt.
Die simulierte ICS-Umgebung, in der die Malware ausgeführt wird, enthält alle wesentlichen Laufzeitkomponenten wie ICS-spezifische Bibliotheken, Services, angeschlossene SPSen, Registry Keys, DLLs usw.
Das System nutzt während der Ausführung der Malware – also wenn diese in der Sandbox „detoniert“ – Techniken der Software-Instrumentierung, um ihr Verhalten intensiv zu analysieren und ihre IOCs zu dokumentieren.
„Die erste Stuxnet-Variante wurde 2007 an VirusTotal geschickt, aber tatsächlich erkannt wurde Stuxnet erst 2012. Ich unterstütze vehement die Idee einer VirusTotal-Version für ICS-Malware.“
Ralph Langner, Pionier der ICS-Sicherheitsforschung. Er war Dark Reading zufolge der erste, der die Nutzlast von Stuxnet knacken konnte.