为了更好地理解现代恶意软件检测方法,最好看看沙盒。在网络安全领域,沙箱的使用在过去十年左右获得了巨大的吸引力。随着每天都有大量新的恶意软件出现,安全研究人员需要一些东西来测试新程序,而不必投入太多宝贵的时间。

Sandboxes提供了理想的僻静的环境,可以屏蔽某些恶意软件类型,而无需给予恶意软件才能传播。基于观察到的行为,然后可以将样品归类为无害,恶意或“需要更近的外观”。

在这样一个隐蔽的环境中运行程序被称为沙箱,允许示例运行的环境被称为沙箱。

沙盒的定义

让我们从一个定义开始,这样我们就知道我们在讨论什么。有很多定义,但我偏爱这一个

“Sandboxing是一种软件管理策略,可分离来自关键系统资源和其他程序的应用程序。沙箱有助于减少任何个别程序或应用程序的影响。“

我并不偏袒这个定义,因为它比其他定义更正确,但因为它确切地说明了我们想从恶意软件研究的沙箱中得到什么:对关键系统资源没有影响。我们希望恶意软件向我们展示它的功能,但我们不希望它扰乱我们的监控或感染其他重要系统。我们希望它能够创建一个完整的报告,并能够快速地重置沙箱,以便为下一个示例做好准备。

恶意软件检测和沙箱

根据这个定义,我们可以说网络安全沙箱是一种物理或虚拟环境,用于打开文件或运行程序,而不会有任何样本干扰我们的监控或永久影响它们运行的设备。沙箱用于测试可能恶意的代码或应用程序,然后再将其提供给关键设备。

在网络安全领域,沙盒是一种测试软件的方法,在测试结束后,软件会被归类为“安全”或“不安全”。在许多情况下,代码将被允许运行机器学习(ml)算法或其他类型的人工智能(ai)将用于对样本进行分类或将其进一步移动以进行更紧密的确定。

恶意软件和在线沙箱

随着沙盒技术的进一步发展和对快速测试软件方法的需求,我们看到了在线沙盒的引入。在这些网站上,您可以提交一个样本,并收到一份关于在线沙箱观察到的样本操作的报告。

It still takes an experienced eye to determine from these reports whether the submitted sample was malicious or not, but for many system administrators in a small organization, it’s a quick check that lets them decide whether they want to allow something to run inside their security perimeter.

其中一些在线沙箱甚至甚至进一步采取了这一程序,并允许用户在监控过程中输入。

Any.run互动沙箱

这是这些类型的某种情况的理想设置,其中预期的受害者需要解压缩受密码保护的附件并在Word文档中启用内容。或者要求您浏览其最终用户许可协议(EULA)的讨厌的广告软件安装程序,然后单击“同意”和“安装”。你可以想象。这些在全自动的沙箱上不会做多少,但对于恶意软件分析师,这些样本将落入无论如何需要人类注意的类别。

沙箱灵敏度

在恶意软件编写者和安全专家之间正在进行的“军备竞赛”中,恶意软件编写者开始在他们的程序中添加例行程序,以检查它们是否在虚拟环境中运行。当程序检测到它们正在沙箱或虚拟机(VM)上运行时,它们会抛出一个错误,或者干脆停止静默运行。有些人甚至会执行一些无害的任务来摆脱我们的追踪。不管怎样,当这些沙箱规避恶意软件样本检测到它们正在受控环境中运行时,它们不会执行它们的恶意代码。他们主要担心的是,研究人员将能够监控这种行为,并提出反击策略,比如屏蔽样本试图联系的url。

恶意软件用于确定它是否在沙箱中运行的方法中的一些方法是:

  • 延迟执行以利用大多数沙箱中内置的超时。
  • 硬件指纹识别。沙盒和虚拟机可以被识别,因为它们通常与物理机器不同。例如,资源的使用率大大是一个这样的指标。
  • 测量用户交互。一些恶意软件要求用户才能为其运行而才能运行,即使它只是一个移动的鼠标指针。
  • 网络检测。有些示例无法在非网络系统上运行。
  • 检查其他正在运行的程序。一些示例寻找已知要用于监视的进程,并在它们处于活动状态时拒绝运行。另外,没有其他软件也可以被认为是在沙箱上运行的一个指示器。

沙箱和虚拟机

在上一段中,我们引用了虚拟机和沙盒。然而,尽管沙盒和虚拟机有着足够多的共同特征,足以让它们相互混淆,但它们实际上是两种不同的技术。

真正将它们分开的是虚拟机始终表现得好像它是一个完整的系统。可以更具限制的沙箱。例如,可以仅在浏览器中运行沙箱,并且系统上没有其他应用程序会注意到它即使存在。另一方面,一个完全与世界其他地区分开的虚拟机,包括其主机,将被视为沙箱。

要使圈子完成,所以要说,我们已经看到了虚拟机形式的恶意软件。在两个单独的家庭中观察到这种攻击,迷宫和ragnar储物柜。迷宫威胁演员捆绑了一个虚拟箱安装程序和MSI文件中的武器化的VM虚拟驱动器(Windows Installer包)。然后攻击者使用名为starter.bat的批处理脚本来启动VM内的攻击。

如果你想知道更多关于这些攻击的技术细节,这里有一些推荐阅读:迷宫攻击者采用Ragnar Locker虚拟机技术

沙箱的未来

请记住集装箱化虚拟机作为物理机的替代品变得越来越普遍,我们想知道,当网络犯罪分子发现他们是在沙箱或虚拟机上运行时,他们是否能够取消攻击。

另一方面,围绕沙盒开发的恶意软件检测方法每天都在变得越来越复杂。

那么,这可能是武器比赛赞成好人的领域吗?只有未来将能够告诉我们。

保持安全,大家好!