Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Malware-Abwehr Glossar

Sandboxing

Isolierungsverfahren das verdächtige Programme oder Code in einer abgekapselten Umgebung ausführt, ohne echte Systeme zu gefährden. Kernkonzept der modernen Malware-Analyse und Browser-Sicherheit.

Sandboxing bezeichnet die Technik, Software oder Code in einer isolierten Umgebung - der “Sandbox” - auszuführen. Die Sandbox hat keinen Zugriff auf das echte System, die echten Daten oder das Netzwerk. Verhält sich die Software schädlich, bleibt der Schaden auf die Sandbox beschränkt.

Das Konzept ist ähnlich wie eine Spielkiste für Kinder: Was in der Sandkiste passiert, bleibt in der Sandkiste.

Anwendungsfelder

Browser-Sandbox

Moderner Browser-Security-Standard: Jeder Tab läuft in einem eigenen, isolierten Prozess.

Browser-Prozess (privilegiert)
├── Tab 1 (niedrige Rechte, sandboxed)
├── Tab 2 (niedrige Rechte, sandboxed)
└── Tab 3 (niedrige Rechte, sandboxed)

Selbst wenn eine Webseite einen Browser-Exploit ausnutzt, hat der Exploit nur Rechte der Sandbox - kein Zugriff auf Dateisystem oder andere Prozesse ohne Sandbox-Escape.

Browser Sandbox Escapes (sehr selten, sehr wertvoll für Angreifer):

  • CVE-2024-0519: Chrome V8 Sandbox Escape
  • Typischerweise für High-Value-Targets (APT, Spionage)

E-Mail-Attachment Sandbox

E-Mail-Security-Gateways (Proofpoint, Mimecast, Microsoft Defender) führen verdächtige Anhänge in einer Cloud-Sandbox aus:

E-Mail mit .xlsx-Anhang eingehend
→ Gateway erkennt Makros im Dokument
→ Dokument wird in Cloud-VM geöffnet
→ Sandbox beobachtet: Makro läuft → PowerShell startet → Verbindung zu C2
→ Klassifizierung: Malicious → Blockiert, Quarantäne

Evasion-Techniken von Malware:

  • Sandbox-Erkennung: VM-Artifacts prüfen (VMware Registry Keys, CPUID-Tricks)
  • Sleep-Delays: Malware wartet länger als Sandbox-Timeout (10min+)
  • User-Interaction: Wartet auf Mausbewegung oder Klick (kein echter User in Sandbox)
  • Anti-Debugging: Erkennt Debug-Hooks

Malware-Analyse Sandbox

Für forensische Analyse in Security-Teams:

Cuckoo Sandbox (Open Source):

# Verdächtige Datei analysieren
cuckoo submit --timeout 120 --platform windows malware.exe

# Ergebnis: vollständiger Report über
# - API-Calls
# - Netzwerkverbindungen
# - Dateisystem-Änderungen
# - Registry-Änderungen
# - Prozesse

Kommerzielle Lösungen:

  • ANY.RUN (interaktive Online-Sandbox)
  • VirusTotal (statisch + multi-AV + Sandbox)
  • Hybrid Analysis (Falcon Sandbox, Crowdstrike)
  • Joe Sandbox
  • VMRay

OS-Level Sandboxing

Betriebssysteme nutzen Sandbox-Konzepte für App-Isolation:

Linux:

  • namespaces: Isolierung von PID, Netzwerk, Dateisystem
  • seccomp: Einschränkung der erlaubten Syscalls
  • AppArmor/SELinux: Mandatory Access Control (MAC)
  • Container (Docker): Kombination aus allem (kein echter Security-Sandbox ohne Ergänzung)

Windows:

  • Windows Sandbox: Temporäre VM direkt in Windows (Windows 10/11 Pro)
  • Windows App Container: UWP-Apps mit eingeschränkten Rechten
  • WSL 2: Linux in Hyper-V-Isolation

macOS:

  • App Sandbox: Pflicht für App Store Apps
  • Gatekeeper: Nur signierte/notarisierte Apps starten

Kubernetes / Container Security

Container sind keine Sandbox - sie teilen den Host-Kernel:

Container-Escape Risiko:
CVE-2019-5736 (runc)  → Host-Root aus Container
CVE-2020-15257 (containerd) → Container-zu-Container

Echte Isolation: gVisor (Google), Kata Containers (VM-Kernel pro Container), Firecracker (AWS Lambda).

Sandbox Evasion: Malware die Sandboxes erkennt

Sophistizierte Malware prüft, ob sie in einer Sandbox läuft:

# Beispiel: Einfache VM-Erkennung (vereinfacht)
import os, sys

def is_sandbox():
    # Check für VMware-Artefakte
    if os.path.exists("C:\\Windows\\System32\\vmGuestLib.dll"):
        return True
    # Zu wenig RAM für echtes System
    import psutil
    if psutil.virtual_memory().total < 2 * 1024**3:  # < 2GB
        return True
    # Zu wenig laufende Prozesse
    if len(psutil.pids()) < 50:
        return True
    return False

if is_sandbox():
    sys.exit(0)  # Harmlos beenden
else:
    # Echtes Schadverhalten starten
    ...

Gegenmaßnahmen für Sandbox-Betreiber:

  • Realistische VM-Konfiguration (4GB RAM, 100GB Disk, echte User-Profile)
  • Mausbewegungen und Browser-History simulieren
  • Längere Analyse-Timeouts (15min+)
  • Bare-Metal-Analyse für hochsophistizierte Malware

Sandbox als Standard in modernen Produkten

ProduktSandbox-Mechanismus
Chrome/FirefoxProzess-Isolation per OS-Sandbox
Windows DefenderCloud-basierte Sandbox-Analyse
Adobe ReaderProtected Mode (Sandbox)
iOS AppsMandatory App Sandbox
Android AppsSELinux + App-Isolation
AWS LambdaFirecracker MicroVM

AWARE7 Leistungen zum Thema

Penetrationstest Security Awareness Training

Ausführlicher Wiki-Artikel

Cloud Security: Sicherheit in AWS, Azure und GCP - Der komplette Guide

22 min Lesezeit

Endpoint Security: EDR, EPP und ganzheitlicher Geräteschutz

12 min Lesezeit

Malware: Arten, Analyse und Schutzmaßnahmen

13 min Lesezeit

Schwachstellenmanagement: Der vollständige Leitfaden

13 min Lesezeit

Verwandte Begriffe

Exploit Malware Threat Intelligence - Angreifer verstehen, bevor sie zuschlagen Zero-Day
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung