沙箱的无能为力之处
|
沙箱是安详栈重要构成部门,但企业的整个计策不能依赖沙箱来检测全部威胁。
从事收集安详事变就仿佛在罪恶之城当警员,天天对战顶着WannaCry、Petya和 “赤色十月” 等混名的不知名无赖,并且无赖们的战术、技能和设备还在不绝更新。一轮扫黑除恶下来,觉得全国平静了,没几天这些老敌手又强势回来…… 好比说,2014年初次发明的Emotet银行木马,最近就洗面革心重现江湖了。该新版本是带.doc后缀的XML文档,操作大大都沙箱要求真实文件范例的特征规避检测。即便真实文件范例是XML,终端上照旧在Word中打开。 一旦在Word中打开,XML文件中的宏就会触发一段PowerShell剧本,毗连进攻第二阶段的URL,下载Emotet进攻载荷。Emotet会列举体系上安装的应用措施并搜查磁盘空间以确定自身是否处于沙箱情形。假如判定自身身处沙箱情形,进攻载荷就会遏制执行。并且,Emotet尚有恒久就寝和耽误机制以阻碍动态说明技能,让沙箱无法检测恶意举动。很智慧的做法! 最近的其他威胁也回收了相同的技能规避沙箱检测。Bebloh是2009年检测到的通用银行木马,最近以针对日本用户的变种从头冒头。该版本通过带宏的Excel邮件附件撒播,用户点击后会触发靠山呼吁shell。风趣的是,该变种每次执行时城市检测体系的地域和国度配置。 只腹地域配置不是日本,宏就会阻止Bebloh执行并退出Excel应用。而一旦呼吁shell被激活,Bebloh即开始执行一个PowerShell剧本从URL获取长途内容,该长途内容是长得像RAR文件的又一个PowerShell剧本文件,内嵌base64编码的加密DLL。解密该DLL的密钥依据操纵体系文化配置的国度代码发生。最后,解密出来的DLL被另一个历程用PowerShell注入内存,其进口点被挪用来启动该恶意软件。 最终功效就是,整个沙箱情形的地域配置必需设成JP(日本的国度代码),才可以检测到该传染链。Bebloh还会搜查体系运行时刻和物理体系特性,只要判定是在沙箱情形就会遏制执行。 收集垂纶也是沙箱无能为力的一个规模,由于检测有赖于文件揭示出恶意举动。进攻者简朴地操作包括恶意链接的PDF文件就可以规避检测。带同一资源标识符(URI)的文档被沙箱检出的概率很低,保留时刻(TTL)短暂的域险些不会给过后说明或威胁谍报处事器留下什么证据。 Emotet、Bebloh和PDF收集垂纶进攻之以是令人忧虑,是由于这些进攻都行使了很是伟大,乃至可以说是优良的技能,来规避沙箱情形的检测。沙箱素来被当成行之有用的Web威胁防护要领,可以在恶意内容触及用户装备之前加以断绝。在已往,这种要领便已足够。进攻被检测出来,然后被放到沙箱情形中,与收集隔分开来并举办说明,以供将来缓解所用。直到此刻,这种计策一向结果精采。 然而,沙箱技能依靠检测。只要威胁可以或许掩盖本身,关停自身,可能以某种方律例避检测,就能自由传染用户的装备,最终侵入到公司收集和要害营业体系。在检测-相应式收集安详计策中,只要威胁绕过大门,统统都完了。 收集威胁战术与技能的一连进化多如牛毛。恶意软件与其他基于Web的进攻一向在成长进化,反抗传统收集安详办理方案。道高一尺魔高一丈的感受挥之不去。好像安详行业的每一个前进,进攻者都能顿时拿出响应的对策,收集安详战线泛起一连拉锯状态。 除了完全基于检测的收集安详计策,我们还可以思量收集脱离和Web断绝。这两个备选办理方案简朴地去除了用户主机与民众互联网之间的任何毗连。收集脱离要领每每必要用户行使两台计较机,毗连公司收集的计较机就不能会见民众互联网。Web断绝要领应承Web赏识操纵,但将获取和执行呼吁的操纵从终端移到了现场或云端的长途断绝处事器上。 沙箱依然是安详栈的重要构成部门,但企业的整个计策不能完全依靠沙箱检出每一个威胁。入侵是肯定的,总有能避过检测的威胁;最好的安详计策是限定威胁,让威胁触及不到用户,让用户乃至不知道本身经验了进攻。 【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安详牛(微信公家号id:gooann-sectv)获取授权】 戳这里,看该作者更多好文 【编辑保举】
点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
