Sonicwall setzt bei Malware-Erkennung auf "SandBox"-Technologie

"Norman SandBox Analyzer" sorgt für Leistungssteigerungen bei der Malware-Analyse

(27.02.08) - Sonicwall setzt für die Analyse neuer, unbekannter Malware die Code-Analyse-Tools des "SandBox Analyzers" von Norman Data Defense Systems ein. Die Lösung analysiert den Code von Dateien auf ihr Schadenspotenzial hin. Gleichzeitig wird der komplexe und aufwendige Analyse-Prozess automatisiert. Ergebnisse liegen in sehr kurzer Zeit und in hoher Genauigkeit vor. Sonicwall rundet mit dem SandBox Analyzer das Spektrum der in den eigenen Analyse-Laboren eingesetzten Tools ab. Von der Norman-Lösung verspricht sich das Unternehmen deutliche Leistungssteigerungen bei der Malware-Analyse.

"Die Bedrohungslandschaft ändert und entwickelt sich ständig weiter. Dasselbe gilt für die Techniken, mit denen Computersysteme infiziert oder angegriffen werden. Mit dem SandBox Analyzer-Tool von Norman und unseren anderen Analysetechniken werden wir die Tausende von Dateien, die wir täglich in unsere Labore bekommen, noch schneller und genauer analysieren können", erklärt Alex Dubrovsky, der sich als Leiter des Forschungsteams bei Sonicwall mit Computersicherheit und Malware befasst.

Grundlage für die Entwicklung von Lösungen und Maßnahmen zur Abwehr von Malware sind Code-Analysen. Je detaillierter die Analyse ausfällt, desto passgenauer können Schutzmaßnahmen zugeschnitten werden; je schneller der Analyse-Prozess erfolgt, desto eher stehen Abwehrmaß-nahmen bereit, die eine weitere Ausbreitung der Schadsoftware verhindern. Herzstück von Normans Analyzer-Produkten ist die proaktive SandBox-Technologie, die neue, bislang unbekannte Malware erkennen kann. Die SandBox simuliert ein Computernetzwerk. Dateien in der isolierten virtuellen Umgebung verhalten sich "normal" und arbeiten ihre Routinen ab. Alle Aktivitäten werden aufge-zeichnet.

Norman SandBox Analyzer ermöglicht die detaillierte Analyse der Aktivitätenmuster der unbe-kannten Dateien und Programme. Die Dateien werden klassifiziert (W32/Backdoor; W32/Worm; W32/Downloader etc.) und auf eine Virensignatur überprüft. Weitere Analysen halten fest, ob Änderungen am Dateisystem bzw. an Registry und Systemeinstellungen versucht sowie Angriffe auf Netzwerkdienste und andere Downloads unternommen wurden. Für die Deep-File-Analyse kann zusätzlich "Norman SandBox Analyzer Pro" eingesetzt werden. Über die klassischen Debugging-Funktionen des Analyzers hinaus ermöglicht der Analyzer Pro das Monitoring und die Manipulation der emulierten SandBox-Umgebung in Echtzeit. (Norman: ma)