沙箱的无能为力之处
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
沙箱是安全栈重要组成部分,但企业的整个策略不能依靠沙箱来检测所有威胁。
从事网络安全工作就好像在罪恶之城当警察,每天对战顶着WannaCry、Petya和 “红色十月” 等花名的不知名恶棍,而且恶棍们的战术、技术和装备还在不断更新。一轮扫黑除恶下来,以为天下太平了,没几天这些老对手又强势归来……
比如说,2014年发现的Emotet银行木马,最近就改头换面重现江湖了。该新版本是带.doc后缀的XML文档,利用大多数沙箱要求真实文件类型的特性规避检测。即便真实文件类型是XML,终端上还是在Word中打开。
一旦在Word中打开,XML文件中的宏就会触发一段PowerShell脚本,第二阶段的URL,下载Emotet载荷。Emotet会枚举系统上安装的应用程序并检查磁盘空间以确定自身是否处于沙箱环境。如果判断自身身处沙箱环境,载荷就会停止执行。而且,Emotet还有长期睡眠和延迟机制以阻碍动态分析技术,让沙箱无法检测恶意行为。很聪明的做法!
最近的其他威胁也采用了类似的技术规避沙箱检测。Bebloh是2009年检测到的通用银行木马,最近以针对日本用户的变种重新冒头。该版本通过带宏的Excel邮件附件传播,用户点击后会触发后台命令shell。有趣的是,该变种每次执行时都会检测系统的地区和国家设置。
只要地区设置不是日本,宏就会阻止Bebloh执行并退出Excel应用。而一旦命令shell被激活,Bebloh即开始执行一个PowerShell脚本从URL获取远程内容,该远程内容是长得像RAR文件的又一个PowerShell脚本文件,内嵌base64编码的加密DLL。解密该DLL的密钥依据操作系统文化设置的国家代码产生。解密出来的DLL被另一个进程用PowerShell注入内存,其入口点被调用来启动该恶意软件。
最终结果就是,整个沙箱环境的地区设置必须设成JP(日本的国家代码),才可以检测到该感染链。Bebloh还会检查系统运行时间和物理系统特征,只要判断是在沙箱环境就会停止执行。
网络钓鱼也是沙箱无能为力的一个领域,因为检测有赖于文件展现出恶意行为。黑客简单地利用包含恶意链接的PDF文件就可以规避检测。带统一资源标识符(URI)的文档被沙箱检出的概率很低,生存时间(TTL)短暂的域几乎不会给事后分析或威胁情报服务器留下什么证据。
Emotet、Bebloh和PDF网络钓鱼之所以令人担忧,是因为这些威胁都使用了非常复杂,甚至可以说是精巧的技术,来规避沙箱环境的检测。沙箱历来被当成行之有效的Web威胁防护方法,可以在恶意内容触及用户设备之前加以隔离。在过去,这种方法便已足够。被检测出来,然后被放到沙箱环境中,与网络隔离开来并进行分析,以供未来缓解所用。直到现在,这种策略一直效果良好。
然而,沙箱技术依赖检测。只要威胁能够掩饰自己,关停自身,或者以某种方式规避检测,就能自由感染用户的设备,最终侵入到公司网络和关键业务系统。在检测-响应式网络安全策略中,只要威胁绕过大门,一切都完了。
网络威胁战术与技术的持续进化屡见不鲜。恶意软件与其他基于Web的威胁一直在发展进化,对抗传统网络安全解决方案。道高一尺魔高一丈的感觉挥之不去。似乎安全行业的每一个进步,黑客都能马上拿出相应的对策,网络安全战线呈现持续拉锯状态。
除了完全基于检测的网络安全策略,我们还可以考虑网络分隔和Web隔离。这两个备选解决方案简单地去除了用户主机与公共互联网之间的任何连接。网络分隔方法往往需要用户使用两台计算机,连接公司网络的计算机就不能访问公共互联网。Web隔离方法允许Web浏览操作,但将获取和执行命令的操作从终端移到了现场或云端的远程隔离服务器上。
沙箱依然是安全栈的重要组成部分,但企业的整个策略不能完全依赖沙箱检出每一个威胁。非法进入是必然的,总有能避过检测的威胁;安全策略是限制威胁,让威胁触及不到用户,让用户甚至不知道自己经历了什么。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
号称“十分在意用户隐私”的恶意软件罗宾汉是个啥?
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 最近,一种新的恶意软件出现在了网络上,并且在全世界范围内广泛传播。该软件会自动加密它们访问到的计算机,随后会向用户索要一定数量的比特币作为赎金。 也许是因为刚出现,我们对这种勒索软件知之甚少,连样本都没有,只知道这个软件叫RobbinHood,翻译过来就是罗宾汉。不过,倒是有很多受害者收到的赎金票据和加密文件作为佐证,这也使得安全研究人员能够大概整理出这个勒索软件是如何运作的。 这个软件的特别之处在于,它在不断的强调用户的隐私对他们有多重要,并且表示不会泄漏任何已付款的用户信息。 用户:??? 软件特性 根据部分受害用户提供的赎金文本,我们可以得知,RobbinHood背后黑客目的仍然是访问目标所在的网络,一旦获取权限,他们便会尽可能的去加密所在网络的计算机。 虽然我们对其使用的加密方式一无所知,但我们知道,当文件被加密时,这些文件会被重命名为类似于“Encrypted_b0a6c73e3e434b63.enc_robbinhood”的样式。 当然,它也会在不同时段删除多个用户赎金票据相关的文件。这些文件的名称分别...
- 下一篇
Facebook面临高达50亿美元罚款
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 美国联邦贸易委员会(FTC)正在调查Facebook是否违反其用户隐私保护策略,可能将会对该社交网络处以50亿美元的罚款。 4月24日的季度财报中,该公司留出了30亿美元以应对可能遭致的处罚,但同时指出:事情尚无定论。 尽管一季度收益增长了26%,但该一次性罚款还是严重影响了Facebook的一季度净收入。FTC一直在调查Facebook是否违反了其2011年承诺的用户隐私保护协议。 投资者无视了该罚款,并在盘后交易中将该公司的股价推高了9%,达到将近200美元的高价。不过,EMarketer分析师 Debra Aho Williamson 将该事件称之为 “重大发展”,并指称和解方案有可能不仅仅是罚款。 与FTC达成的和解可能会影响到广告商在未来使用该平台的方式。 过去2年来Facebook深陷隐私漏洞丑闻。去年3月开始,FTC就一直在调查Facebook是否牵涉剑桥分析公司数据挖掘丑闻。该公司在未经用户同意的情况下获取了该社交媒体平台8,700万用户的数据。 2011 FTC 协议将Facebook绑上了20年...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS7设置SWAP分区,小内存服务器的救世主