视频: Диакритические знаки во французском. Accent aigu, accent grave, accent circonflexe. Видеоурок 1. (十一月 2024)
在受控环境(或“沙箱”)中对未知软件进行动态分析是安全专家用来清除恶意软件的强大工具。 但是,坏蛋对这种技术很明智,并且一直在引入新的技巧以突破沙盒并进入您的系统。
安全公司LastLine的联合创始人兼首席科学家Christopher Kruegel说:“动态分析是正确的方法,很多人都可以这样做。” “但实际上,那只是表面。” AV解决方案的旧模型侧重于已知恶意软件的列表,并防范与该列表匹配的任何内容。 问题在于这种方法无法防范零时差攻击或现有恶意软件的无数变化。
输入沙箱,沙箱可以在受控环境(例如虚拟机)中执行未知软件,并观察其行为是否类似于恶意软件。 通过使过程自动化,视听公司可以提供实时保护,以应对从未见过的威胁。
打破沙盒
毫不奇怪,坏人引入了新工具来欺骗沙箱以忽略恶意软件并使其通过。 Kruegel列举了恶意软件开始执行此操作的两种方法:第一种是使用环境触发器,在该触发器中,恶意软件将巧妙地检查其是否在沙盒环境中运行。 恶意软件有时会检查硬盘名称,用户名称,是否安装了某些程序或某些其他条件。
Kruegel描述的第二种更复杂的方法是实际上阻止了沙盒的恶意软件。 在这种情况下,该恶意软件不需要运行任何检查,而是会执行无用的计算,直到满足沙箱为止。 沙箱超时后,会将恶意软件传递到实际计算机上。 Kruegel说:“该恶意软件在真实主机上执行,执行循环,然后做坏事。” “这对使用动态分析的任何系统都是重大威胁。”
已经在野外
这些破坏沙盒技术的变体已被广泛用于攻击中。 据Kruegel称,上周对韩国计算机系统的攻击采用了一种非常简单的系统来避免被发现。 在这种情况下,Kruegel说该恶意软件只会在特定的日期和时间运行。 他解释说:“如果沙箱在第二天或前一天收到,它什么也没做。”
克鲁格(Kruegel)在阿美(Aramco)攻击中看到了类似的技术,恶意软件摧毁了一家中东石油公司的数千台计算机终端。 Kruegel说:“他们正在检查IP地址是否属于该区域,如果您的沙箱不在该区域中,它将无法执行。”
在LastLine观察到的恶意软件中,Kruegel告诉SecurityWatch,他们发现至少有5%的人已经在使用停滞代码。
AV军备竞赛
数字安全一直是不断升级的,对策将永远满足新的反击要求。 躲避沙箱也没有什么不同,因为Kruegel的公司LastLine已经试图通过使用代码仿真器来更深入地研究潜在的恶意软件,并且从未允许潜在的恶意软件直接执行自身。
克鲁格说,他们还试图通过打破潜在的停滞循环,将潜在的恶意软件“推入”不良行为。
不幸的是,恶意软件生产者不断创新,尽管只有5%的恶意软件生产者开始努力击败沙箱,但可以肯定的是,还有其他我们不知道的东西。 Kruegel说:“只要供应商提出新的解决方案,攻击者就会适应,而沙盒问题也是如此。”
好消息是,尽管技术推动和拉动可能不会很快结束,但其他人正在将恶意软件生产者用来赚钱的方法作为目标。 也许这将打击即使最聪明的编程也无法保护他们的坏人:他们的钱包。
