從流感到計算機病毒:沙盒逃避技術漫談
責編:admin |2015-01-25 13:38:41流行病研究機構每年都會觀察全球的流感病毒,預測明年可能會出現哪種極度危險的病毒,同時準備好相應疫苗以幫助人們減少患病的風險。實際上,這與信息安全研究人員研究惡意軟件并開發相應防護工具所做的工作十分類似。
流行感冒病毒以無法預料的方式進行變異,因此之前的疫苗只能提供有限的保護。防范惡意軟件的情況也是如此。
曾經在識別威脅的手段中大發神威的沙盒技術,如今已經被網絡犯罪分子所熟悉。他們正在使用高端精密的逃避技術來找到避免沙盒控制和檢測的方法。
控制惡意軟件:隔離是王道
沙盒很像是醫學實驗室里的細菌培養皿。通過培養皿,研究者可以在安全可控的環境下,觀察病毒的行為和其他潛在的有害可能。這種能夠識別新的惡意代碼或預先發現未知惡意代碼的能力在當今的安全架構中大行其道。
3種狡猾的沙盒逃避技術
至少到現在為止,安全人員在與網絡罪犯的斗爭中還處于上風,后者則試圖扭轉這一戰局。雙方都使用了能夠想到的必要手段,包括使用彼此的工具和方法。下面介紹攻擊者逃避或企圖逃避沙盒檢測的幾種技術:
延時運行。攻擊者暫緩惡意軟件的運行,暫緩時間從幾分鐘到幾天,以隱藏其特征從而通過沙盒的檢測。雖然這種方法可以愚弄到某些沙盒技術,但已經有一些沙盒技術可以強迫暫緩執行的代碼即刻運行并對其進行檢測。
診斷沙盒。另一種狡猾的方法是檢測虛擬機的注冊鍵、運行進程、磁盤容量、運程通信,或是其他可以識別沙盒環境的特征。當然,沙盒也可以部署相關技術迷惑惡意軟件的檢測,但這都是短期的變通方法,沙盒最有效的檢測方法還是對靜態代碼的分析。
給計算機用戶把脈。很不幸,用戶依舊是安全鏈中最薄弱的一環,網絡罪犯則一如既往的利用這一點。這種攻擊方法先檢測操作計算機的用戶行為,然后再決定是否執行。虛擬環境很難模擬頁面滾動、鼠標移動或點擊等用戶的隨機行為,如果惡意軟件查覺到不正常的行為,它便會退出以避開檢測。
最佳檢測過程:行為監測 + 深度靜態代碼分析
在沙盒中觀察軟件的可疑行為是一種有效的方法,然而當惡意軟件實時地改變自身行為以逃避檢測時,這種方法就很難進行精準的判斷。因此,除了行為判定之外,還需要了解行為的歷史信息。安全廠商利用豐富的惡意軟件信息庫來甄別和跟蹤惡意軟件的種類,惡意的網站、郵件、IP地址等等信息都具有價值,這就是檢測過程的關鍵所在。
當動態沙盒技術無效時,就該完整的靜態代碼分析大顯身手了。現在的黑客不只是對惡意代碼進行壓縮,他們還會加密文本字符和網址。而完整靜態代碼分析不僅可以解開代碼壓縮包、分解文件、通過語句分析執行路徑,還可以發現偽裝的惡意網站和IP地址,比較代碼和功能函數的執行,以識別沙盒中運行的軟件與現有的惡意軟件家族的關系。
一個有效的靜態代碼分析模塊的關鍵是迅速識別所需要分析的代碼。黑客通常會改變代碼特征以逃避檢測,因此任何類型的靜態代碼分析都必需具備識別這種伎倆能力。
最優解決方案:預防
正如我們看到的,攻擊與防守兩者之間的戰斗不斷升級。網絡犯罪手段越來越高端復雜,并試圖超越安全防護技術,比如沙盒檢測。基于行為的監測雖然是一個好的方法,但解決方案的選擇卻不能止于一次簡單的觀察。安全解決方案必需聯合行為監測和高級靜態代碼分析,以準確地檢測出新型的惡意軟件以及逃避沙盒檢測的技術。
下一篇:華為防火墻USG基本配置