流行病研究機構每年都會觀察全球的流感病毒,**明年可能會出現哪種極度危險的病毒,同時準備好相應疫苗以幫助人們減少患病的風險。實際上,這與資訊保安研究人員研究惡意軟體並開發相應防護工具所做的工作十分類似。
流行感冒病毒以無法預料的方式進行變異,因此之前的疫苗只能提供有限的保護。防範惡意軟體的情況也是如此。
曾經在識別威脅的手段中大發神威的沙盒技術,如今已經被網路犯罪分子所熟悉。他們正在使用高階精密的逃避技術來找到避免沙盒控制和檢測的方法。
控制惡意軟體:隔離是王道
沙盒很像是醫學實驗室裡的細菌培養皿。通過培養皿,研究者可以在安全可控的環境下,觀察病毒的行為和其他潛在的有害可能。這種能夠識別新的惡意**或預先發現未知惡意**的能力在當今的安全架構中大行其道。
3種狡猾的沙盒逃避技術
至少到現在為止,安全人員在與網路罪犯的鬥爭中還處於上風,後者則試圖扭轉這一戰局。雙方都使用了能夠想到的必要手段,包括使用彼此的工具和方法。下面介紹攻擊者逃避或企圖逃避沙盒檢測的幾種技術:
延時執行。攻擊者暫緩惡意軟體的執行,暫緩時間從幾分鐘到幾天,以隱藏其特徵從而通過沙盒的檢測。雖然這種方法可以愚弄到某些沙盒技術,但已經有一些沙盒技術可以強迫暫緩執行的**即刻執行並對其進行檢測。
診斷沙盒。另一種狡猾的方法是檢測虛擬機器的註冊鍵、執行程序、磁碟容量、運程通訊,或是其他可以識別沙盒環境的特徵。當然,沙盒也可以部署相關技術迷惑惡意軟體的檢測,但這都是短期的變通方法,沙盒最有效的檢測方法還是對靜態**的分析。
給計算機使用者把脈。很不幸,使用者依舊是安全鏈中最薄弱的一環,網路罪犯則一如既往的利用這一點。這種攻擊方法先檢測操作計算機的使用者行為,然後再決定是否執行。虛擬環境很難模擬頁面滾動、滑鼠移動或點選等使用者的隨機行為,如果惡意軟體查覺到不正常的行為,它便會退出以避開檢測。
最佳檢測過程:行為監測 + 深度靜態**分析
在沙盒中觀察軟體的可疑行為是一種有效的方法,然而當惡意軟體實時地改變自身行為以逃避檢測時,這種方法就很難進行精準的判斷。因此,除了行為判定之外,還需要了解行為的歷史資訊。安全廠商利用豐富的惡意軟體資訊庫來甄別和跟蹤惡意軟體的種類,惡意的**、郵件、ip位址等等資訊都具有價值,這就是檢測過程的關鍵所在。
當動態沙盒技術無效時,就該完整的靜態**分析大顯身手了。現在的黑客不只是對惡意**進行壓縮,他們還會加密文字字元和**。而完整靜態**分析不僅可以解開**壓縮包、分解檔案、通過語句分析執行路徑,還可以發現偽裝的惡意**和ip位址,比較**和功能函式的執行,以識別沙盒中執行的軟體與現有的惡意軟體家族的關係。
乙個有效的靜態**分析模組的關鍵是迅速識別所需要分析的**。黑客通常會改變**特徵以逃避檢測,因此任何型別的靜態**分析都必需具備識別這種伎倆能力。
最優解決方案:預防
正如我們看到的,攻擊與防守兩者之間的戰鬥不斷公升級。網路犯罪手段越來越高階複雜,並試圖超越安全防護技術,比如沙盒檢測。基於行為的監測雖然是乙個好的方法,但解決方案的選擇卻不能止於一次簡單的觀察。安全解決方案必需聯合行為監測和高階靜態**分析,以準確地檢測出新型的惡意軟體以及逃避沙盒檢測的技術。
計算機病毒
人的身體受到病毒的感染會發生健康問題,計算機也是如此。計算機病毒對於我們來說並不陌生,但是我們對於病毒的原理及維護的一些知識卻存在一定的欠缺,在本教程中,我們就對此進行了解。編製者在電腦程式中插入的破壞計算機功能或者破壞資料,影響計算機使用並且能夠自我複製的一組計算機指令或者程式 被稱為計算機病毒 ...
計算機病毒
人的身體受到病毒的感染會發生健康問題,計算機也是如此。計算機病毒對於我們來說並不陌生,但是我們對於病毒的原理及維護的一些知識卻存在一定的欠缺,在本教程中,我們就對此進行了解。編製者在電腦程式中插入的破壞計算機功能或者破壞資料,影響計算機使用並且能夠自我複製的一組計算機指令或者程式 被稱為計算機病毒 ...
計算機病毒簡述
一 簡述計算機病毒結構 1.計算機病毒中符號的含義 表示定義 表示語句標號 語句分隔符 賦值或比較符 表示一組語句序列 2.計算機病毒通常包含以下幾個模組 1 觸發模組 這部分用來控制病毒的傳播和發作 2 傳播模組 這部分主要負責病毒的感染和傳播 3 表現模組 也稱為破壞模組。這部分決定了病毒破壞的...