如今,用以对付高级恶意软件的沙箱技术已被恶意软件的作者利用。网络罪犯越来越多地使用这种技术来创造新技术来逃避这种防御。 沙箱规避并不是一种新现象,其开始于恶意软件开始认识到自己正在一个沙箱中,并且要“睡眠”到超时。但是安全分析工具在检测“睡眠”时已经更为高效,所以恶意软件的作者正在创造新策略,例如用来感染微软办公文档中的恶意软件变种。
再如,有的恶意软件可以向内存写入近百亿次一个字节的随机数据。沙箱并不能够判定应用程序正在有意地拖延,因为它并没有真正地“睡眠”。此外,过多代码或垃圾代码迫使安全分析师花费更多的时间检查和分析恶意软件。 考虑到攻击者不断地更新其攻击技术,企业的恶意软件分析很有可能超……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
如今,用以对付高级恶意软件的沙箱技术已被恶意软件的作者利用。网络罪犯越来越多地使用这种技术来创造新技术来逃避这种防御。
沙箱规避并不是一种新现象,其开始于恶意软件开始认识到自己正在一个沙箱中,并且要“睡眠”到超时。但是安全分析工具在检测“睡眠”时已经更为高效,所以恶意软件的作者正在创造新策略,例如用来感染微软办公文档中的恶意软件变种。再如,有的恶意软件可以向内存写入近百亿次一个字节的随机数据。沙箱并不能够判定应用程序正在有意地拖延,因为它并没有真正地“睡眠”。此外,过多代码或垃圾代码迫使安全分析师花费更多的时间检查和分析恶意软件。
考虑到攻击者不断地更新其攻击技术,企业的恶意软件分析很有可能超越了传统的沙箱技术。企业在购买和部署沙箱技术时通常有三种典型的方法:
1. 作为一种独立的方案,对其它安全产品无依赖性。
2. 内建到基于网络的安全设备(如防火墙、IPS、UTM)中。
3. 内建到安全内容网关中,如Web或电子邮件网关。
虽然每种部署选择都有其自己的优点和缺点,但传统的沙箱技术一般都以同样的方式工作:析取恶意样本;在本地虚拟机中分析样本;生成报告。但其面临着类似的局限性:能够感知环境的高级恶意软件可以逃避沙箱;并且对于用以确认已渗透到网络的恶意软件的数据,沙箱也不使用;沙箱提供有限的修复功能。
这正是传统的沙箱技术需要改进的地方。为对付使用高级逃避策略的恶意软件,企业需要一种更为强健的恶意软件分析工具,该工具应是完整的威胁防御策略一部分的,并且在恶意软件逃过了最初的几道防线之后,能够扫描和确认恶意软件。这就要求恶意软件的分析方法应是完整的能够感知环境的,并能够进行安全分析。
完整性:恶意软件的分析必须是企业安全架构、防火墙、电子邮件和Web安全网关、网络和端点安全方案的一个完整组件。灵活的部署选择对于满足多种需求和包容现有的基础架构来说至关重要。
重视发生环境:发生环境对于理解真正的威胁在哪里并且加速响应极为重要。重视发生环境的恶意软件分析可以提供基于区域的信息以及垂直或历史分布的信息; 将全局的和本地的情报、损害行为指示、威胁情报提供和其它改进结合起来;交付情报;提供一个威胁分数,根据企业基础架构的具体特征反映恶意程度。
回顾安全:该功能可以使安全团队确认渗透到网络的恶意软件,看到文件在企业中的轨迹,隔离任何被感染的设备,并且在将设备连接到网络之前执行自动或手动的修复。回顾安全对于加速响应时间和实施检测非常关键。
恶意软件分析需要充分利用传统方法提供的技术,在此基础上进行革新和发展。
相关推荐
-
攻击者是如何利用“隐写技术”的?
据称,在不久的将来,隐写技术将越来越多地用于攻击中。那么,攻击者如何使用隐写术,以及企业应该如何抵御基于隐写术的攻击?
-
如何应对Rombertik恶意软件?
新发现的高级恶意软件Rombertik在被检测时会让计算机瘫痪。那么,Rombertik恶意软件究竟有什么特别之处?我们是否应该采用不同的反恶意软件战略来检测和隔离它?
-
高级持续性威胁(APT)剖析与防护
高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。
-
着眼网络外围和内部:更好地利用网络流量分析
在这个音频中,Peter Sullivan探讨了高级恶意软件的性质以及为什么安全专业人员必须立即改变其工作重点以同时涵盖网络内部和网络外围检测。