Firma Kaspersky otrzymała patent (US10339301) przyznany przez amerykański Urząd Patentów i Znaków Towarowych dla technologii stworzonej w celu zwiększenia skuteczności wykrywania szkodliwej funkcjonalności w maszynie wirtualnej. Poprzez wierne odtworzenie warunków prowadzących do wykonania szkodliwego oprogramowania technologia będąca przedmiotem patentu umożliwia badaczom analizę podejrzanego pliku już podczas jednej próby zamiast kilku. Przewiduje się, że implementacja technologii zwiększy współczynnik wykrywania szkodliwej aktywności w piaskownicach oraz zautomatyzuje pracę analityków, która w innych okolicznościach musiałaby zostać wykonana ręcznie.
Jedną z metod wykrywania szkodliwego zachowania pliku jest uruchamianie go w wyizolowanej piaskownicy. Metoda ta automatyzuje analizę szkodliwego oprogramowania, nadal jednak wymaga pewnej pracy manualnej, aby stworzyć odpowiednie środowisko, w którym szkodliwe oprogramowanie ujawni swoją „prawdziwą naturę”. Poza tym cyberprzestępcy często stosują techniki obchodzenia piaskownicy: aby uniemożliwić wykrycie go, szkodliwy plik, zanim zostanie wykonany, może sprawdzić, czy znajduje się w maszynie wirtualnej, lub wstrzymać aktywność do czasu, gdy piaskownica przestanie działać.
Patent zatytułowany „System i metoda analizy plików w maszynie wirtualnej pod kątem szkodliwości” opisuje technologię, która automatycznie uruchamia wykonanie plików oraz odpowiednie warunki dla każdego z nich.
Warunki te mogą się różnić. Szkodliwe oprogramowanie może nie ujawnić swojego niebezpiecznego zachowania, jeśli jego celem jest określona aplikacja, na przykład klient poczty e-mail, którego brakuje w przeglądarce. Aby sprostać temu wyzwaniu, badacz musi przejrzeć dzienniki zdarzeń, odkryć, czego brakuje, dodać to do środowiska maszyny wirtualnej i uruchomić proces na nowo.
Teraz, gdy szkodliwe oprogramowanie próbuje uzyskać dostęp do aplikacji, foldera, pliku itp., opatentowany system przechwytuje taką próbę. Nie czeka jednak, aż plik zostanie wykonany, ale zatrzymuje proces i tworzy wymaganą aplikację oraz jej zawartość (np. hasła przeglądarki), po czym proces jest kontynuowany.
Opatentowana technologia może również pomóc w zwalczaniu techniki unikania wykrycia, która polega na tym, że szkodliwe oprogramowanie pozostaje w uśpieniu przez pewien czas, zanim zostanie wykonane, pozostając nieaktywne przez okres dłuższy niż działa piaskownica. W takich przypadkach opatentowana technologia przyspiesza upływ czasu w maszynie wirtualnej, przez co szkodliwy kod zostaje zmuszony do wcześniejszego wykonania się. Ponieważ wszystkie czasomierze oraz zegary zostały udostępnione w piaskownicy, szkodnik nie ma możliwości rozszyfrowania tej sztuczki.
Opisywana technologia będzie wykorzystywana wewnętrznie do analizowania szkodliwego oprogramowania oraz zaimplementowana w rozwiązaniach wyposażonych w piaskownicę.