WE-SAND – A Sandbox for Web Security

Dissertação de Mestrado em Engenharia InformáticaOs ciberataques já se verificam há alguns anos, mas foi nestes últimos anos que ganharam maior visibilidade. Num mundo interligado pela via digital, os atores maliciosos encontraram novas formas de ganhar dinheiro e notoriedade prejudicando organizações de vários tipos. A exploração de vulnerabilidades em sistemas informáticos e aplicações, o envio de e-mail com conteúdos aparentemente legítimos/normais mas que de facto escondem payload maliciosos, a cifra de dados e pedidos de resgate para reaver os mesmos, são alguns exemplos de ameaças cibernéticas que para muitas organizações e pessoas já se traduziu em ciberataque de facto, e consequentemente em impactos de foro económico, de reputação entre outros. Lidar com o problema não é fácil. À medida que se vão criando tecnologias de deteção e proteção, refinando processos e treinando pessoas para o fenómeno, os atores maliciosos procuram novas ferramentas, tecnologias e procedimentos para contornar as barreiras levantadas. Uma das tecnologias na área são os sistemas de sandbox. Tratam-se de sistemas isolados que permitem a análise de artefactos com o intuito de averiguar se os mesmos são ou não maliciosos. Neste trabalho analisámos vários sistemas de sandbox e apresentamos um protótipo funcional (cujo nome é WE-SAND) de uma aplicação que agrega vários sistemas de sandbox com o intuito de facilitar o processo de análise e de identificação de payload malicioso. Para a análise foi feito um levantamento dos sistemas de sandbox existentes e foram selecionados cinco destes sistemas. Sobre estes foram realizados testes utilizando artefactos propositadamente maliciosos e artefactos não maliciosos. A análise de eficácia revelou a existência de diferenças significativas entre os sistemas de sandbox. Apesar de alguns apresentarem boas taxas de deteção (acima dos 90%), existem artefactos maliciosos que não são detetados pelos sistemas de sandbox bem como existem artefactos não maliciosos a ser identificados como tal. Outra análise efetuada foi a medição do tempo requerido para a análise por cada sistema de sandbox. Com base nos resultados obtidos pela análise, procedeu-se ao desenho e implementação do WE-SAND. Trata-se de uma aplicação que agrega vários sistemas de sandbox (atualmente três, mas possível de ser estendido) que facilita o envio de artefactos para análise e recolha dos resultados da análise. O protótipo está funcional e a sua maturidade e adoção permitirá às organizações analisar o payload dos acessos com o exterior a fim de detetar e evitar a ocorrência de ciberataques realizadas com recurso a este tipo de técnica.Cyber-attacks have been around for some years, but in recent years they have gained greater visibility. In a digital-interconnected world, malicious actors have found new ways to make money and notoriety. Exploiting vulnerabilities in computer systems and applications, sending emails with such as legitimate/normal content but that actually hide malicious payload, encrypting data on computers and servers and request for ransoms to retrieve them are some examples of current threats, which unfortunately are affecting many organizations and individuals leading to huge economic, political and reputational impacts. Dealing with the problem is not easy. New detection and protection technologies are being developed, the refining of processes and training people for the phenomenon is already occurring but the malicious actors are continuously looking for new tools, technologies and procedures to get around the barriers raised. One of the technologies that exist in the area and that have been evolving are the sandbox systems. These are isolated systems that allow the analysis of artifacts in order to ascertain whether they are malicious or not. In this work we analyze several sandbox systems and present a functional prototype of an application (named WE-SAND) that aggregates several sandbox systems in order to facilitate the process of analysis and identification of malicious payload. A survey of existing sandbox systems was conducted and five of these systems were selected. Tests over the five sandbox systems were conducted, using both purposely malicious artifacts and non-malicious artifacts. The efficacy analysis showed that there are significant differences between sandbox systems and that although some have good detection rates (over 90%), there are malicious artifacts that are not detected by sandbox systems as well as there are non-malicious artifacts being identified as malicious. Another analysis was the measurement of the time required for the analysis by each sandbox system. Such analysis is important to known how timely an organization can detect and mitigate the occurrence of malicious artifacts. Based on the results obtained from the analysis, the WE-SAND prototype was designed and implemented. It is an application that aggregates several sandbox systems (currently three, but possible to be extended) and facilitates the sending of artifacts for analysis and the collection of results. The prototype is functional, and its maturity and adoption will allow organizations to analyze the payload of incoming data (e.g., emails, files, web pages) in order to detect and mitigate the occurrence of cyber-attacks conducted using these types of techniques