天蚕土豆,风凌天下,君子以泽

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

高級惡意軟件是如何逃避“僵化沙箱”的?

如今，用以對付高級惡意軟件的沙箱技術(shù)已被惡意軟件的作者利用。網(wǎng)絡(luò)罪犯越來越多地使用這種技術(shù)來創(chuàng)造新技術(shù)來逃避這種防御。

成都創(chuàng)新互聯(lián)公司堅持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：網(wǎng)站設(shè)計、網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的湘東網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

沙箱規(guī)避并不是一種新現(xiàn)象，其開始于惡意軟件開始認識到自己正在一個沙箱中，并且要“睡眠”到超時。但是安全分析工具在檢測“睡眠”時已經(jīng)更為高效，所以惡意軟件的作者正在創(chuàng)造新策略，例如用來感染微軟辦公文檔中的惡意軟件變種。再如，有的惡意軟件可以向內(nèi)存寫入近百億次一個字節(jié)的隨機數(shù)據(jù)。沙箱并不能夠判定應(yīng)用程序正在有意地拖延，因為它并沒有真正地“睡眠”。此外，過多代碼或垃圾代碼迫使安全分析師花費更多的時間檢查和分析惡意軟件。

考慮到攻擊者不斷地更新其攻擊技術(shù)，企業(yè)的惡意軟件分析很有可能超越了傳統(tǒng)的沙箱技術(shù)。企業(yè)在購買和部署沙箱技術(shù)時通常有三種典型的方法：

1. 作為一種獨立的方案，對其它安全產(chǎn)品無依賴性。

2. 內(nèi)建到基于網(wǎng)絡(luò)的安全設(shè)備(如防火墻、IPS、UTM)中。

3. 內(nèi)建到安全內(nèi)容網(wǎng)關(guān)中，如Web或電子郵件網(wǎng)關(guān)。

雖然每種部署選擇都有其自己的優(yōu)點和缺點，但傳統(tǒng)的沙箱技術(shù)一般都以同樣的方式工作：析取惡意樣本;在本地虛擬機中分析樣本;生成報告。但其面臨著類似的局限性：能夠感知環(huán)境的高級惡意軟件可以逃避沙箱;并且對于用以確認已滲透到網(wǎng)絡(luò)的惡意軟件的數(shù)據(jù)，沙箱也不使用;沙箱提供有限的修復(fù)功能。

這正是傳統(tǒng)的沙箱技術(shù)需要改進的地方。為對付使用高級逃避策略的惡意軟件，企業(yè)需要一種更為強健的惡意軟件分析工具，該工具應(yīng)是完整的威脅防御策略一部分的，并且在惡意軟件逃過了最初的幾道防線之后，能夠掃描和確認惡意軟件。這就要求惡意軟件的分析方法應(yīng)是完整的能夠感知環(huán)境的，并能夠進行安全分析。

完整性：惡意軟件的分析必須是企業(yè)安全架構(gòu)、防火墻、電子郵件和Web安全網(wǎng)關(guān)、網(wǎng)絡(luò)和端點安全方案的一個完整組件。靈活的部署選擇對于滿足多種需求和包容現(xiàn)有的基礎(chǔ)架構(gòu)來說至關(guān)重要。

重視發(fā)生環(huán)境：發(fā)生環(huán)境對于理解真正的威脅在哪里并且加速響應(yīng)極為重要。重視發(fā)生環(huán)境的惡意軟件分析可以提供基于區(qū)域的信息以及垂直或歷史分布的信息; 將全局的和本地的情報、損害行為指示、威脅情報提供和其它改進結(jié)合起來;交付情報;提供一個威脅分數(shù)，根據(jù)企業(yè)基礎(chǔ)架構(gòu)的具體特征反映惡意程度。

回顧安全：該功能可以使安全團隊確認滲透到網(wǎng)絡(luò)的惡意軟件，看到文件在企業(yè)中的軌跡，隔離任何被感染的設(shè)備，并且在將設(shè)備連接到網(wǎng)絡(luò)之前執(zhí)行自動或手動的修復(fù)?；仡櫚踩珜τ诩铀夙憫?yīng)時間和實施檢測非常關(guān)鍵。

惡意軟件分析需要充分利用傳統(tǒng)方法提供的技術(shù)，在此基礎(chǔ)上進行革新和發(fā)展。

分享文章：高級惡意軟件是如何逃避“僵化沙箱”的?
標題路徑：http://www.fisionsoft.com.cn/article/cdsppgp.html

新聞中心

其他資訊