您当前位置:首页 > 资讯中心 > 业内新闻

高级恶意软件是如何逃避“僵化沙箱”的?

如今,用以对付高级恶意软件的沙箱技术已被恶意软件的作者利用。网络罪犯越来越多地使用这种技术来创造新技术来逃避这种防御。

高级恶意软件是如何逃避“僵化沙箱”的?

沙箱规避并不是一种新现象,其开始于恶意软件开始认识到自己正在一个沙箱中,并且要“睡眠”到超时。但是安全分析工具在检测“睡眠”时已经更为高效,所以恶意软件的作者正在创造新策略,例如用来感染微软办公文档中的恶意软件变种。再如,有的恶意软件可以向内存写入近百亿次一个字节的随机数据。沙箱并不能够判定应用程序正在有意地拖延,因为它并没有真正地“睡眠”。此外,过多代码或垃圾代码迫使安全分析师花费更多的时间检查和分析恶意软件。

考虑到攻击者不断地更新其攻击技术,企业的恶意软件分析很有可能超越了传统的沙箱技术。企业在购买和部署沙箱技术时通常有三种典型的方法:

1. 作为一种独立的方案,对其它安全产品无依赖性。

2. 内建到基于网络的安全设备(如防火墙、IPS、UTM)中。

3. 内建到安全内容网关中,如Web或电子邮件网关。

虽然每种部署选择都有其自己的优点和缺点,但传统的沙箱技术一般都以同样的方式工作:析取恶意样本;在本地虚拟机中分析样本;生成报告。但其面临着类似的局限性:能够感知环境的高级恶意软件可以逃避沙箱;并且对于用以确认已渗透到网络的恶意软件的数据,沙箱也不使用;沙箱提供有限的修复功能。

这正是传统的沙箱技术需要改进的地方。为对付使用高级逃避策略的恶意软件,企业需要一种更为强健的恶意软件分析工具,该工具应是完整的威胁防御策略一部分的,并且在恶意软件逃过了较初的几道防线之后,能够扫描和确认恶意软件。这就要求恶意软件的分析方法应是完整的能够感知环境的,并能够进行安全分析。

完整性:恶意软件的分析必须是企业安全架构、防火墙、电子邮件和Web安全网关、网络和端点安全方案的一个完整组件。灵活的部署选择对于满足多种需求和包容现有的基础架构来说至关重要。

重视发生环境:发生环境对于理解真正的威胁在哪里并且加速响应极为重要。重视发生环境的恶意软件分析可以提供基于区域的信息以及垂直或历史分布的信息; 将全局的和本地的情报、损害行为指示、威胁情报提供和其它改进结合起来;交付情报;提供一个威胁分数,根据企业基础架构的具体特征反映恶意程度。

回顾安全:该功能可以使安全团队确认渗透到网络的恶意软件,看到文件在企业中的轨迹,隔离任何被感染的设备,并且在将设备连接到网络之前执行自动或手动的修复。回顾安全对于加速响应时间和实施检测非常关键。

恶意软件分析需要充分利用传统方法提供的技术,在此基础上进行革新和发展。

作者:Grabsun - 发布时间:2015-11-03 - 点击量:3712
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们