解密沙盒技术在威胁防御中的应用

在计算机领域,沙盒这一概念很早就用以表示一个能够让恶意代码运行其中的安全隔离环境,方便研究人员对恶意代码进行分析。同样的概念现在被网络安全设备用于执行和检查网络信息流,发现那些躲过了传统安全措施的恶意代码。

由于能够虚拟仿真整个操作系统,沙盒便可安全地执行可疑代码,以便观察其所作所为。包括文档/磁盘操作、网络连接、注册/系统配置修改等等在内的恶意行为因此暴露无遗,从而消除威胁。

为何现在必须采用沙盒技术?

既然沙盒技术属于很早的技术,为什么又突然变得如此重要?因为当网络罪犯了解了更多普通的安全检测方法时,他们往往会将更多的投入放在安全规避方法的研发上。高级持续性威胁(APT)属于定制开发的针对性攻击。使用前所未见的(或“0day”)恶意软件,它们可以避开直接检测来利用薄弱点(没有修补的安全漏洞)。这些威胁来自于全新的或看似安全的URL主机和IP地址。它们的目的是使用那些千方百计绕过安全屏障并尽可能长时间地潜伏在雷达下的高级代码技术来危害它们的目标系统。今天,不论是新式入侵威胁,或以全新方式伪装的旧有入侵威胁,沙盒技术都可以帮助我们发现它们。

沙盒与恶意样本的对抗

沙盒技术的主要应用是准确地模拟恶意代码的行为。理想情况下,沙盒中的输出应当与代码在某个终端用户环境中运行时的输出完全相同。实际上,由于所涉及的变量数量的关系,产生完全相同的结果是很困难的。其类似于试图从种子开始种植两株完全相同植物的过程;即使极细微的水、光、温度和土壤成分的差异都会产生不同的结果。

漏洞程序(Exploit)与有毒App(Zpplication):

高级威胁能够伪装成为文档文件来欺骗员工开启文件(如Word、Excel或Adobe Reader)去运行恶意代码。若要检测出这种行为,沙盒必须从头至尾运行一系列的操作系统,每个操作系统都要运行多个应用程序版本。

32与64位,Windows XP与Windows7/8:

32位代码可同时运行于32位和64为环境下,因此恶意软件的作者更青睐32位,以获得最大的感染效果。如今大多数恶意软件仍然是可执行文件的形式,特别是可移植的可执行32位格式(PE32)。PE32文件能够同时在Window XP和7/8的环境中运行,所以大多数恶意行为都可以在XP(不支持64位代码)中观察到,而不需在7/8中进一步测试。但运行于带有CPRL的FortiSandbox的Fortinet杀毒引擎完全支持32位和64位代码以及多个平台:Window s、Mac、Linux、Android、Window Mobile、iOS、Blackberry和遗留下来的Symbian。

FortiSandbox助力企业应对新型威胁

FortiGuard实验室观察到的大多数威胁都是32位且用于在Windows XP环境中执行的。Windows XP仍是一个活跃的市场,也是一个易取的目标。若黑客(开发者)可以编写32位恶意软件,其就会在今天的XP上生效,也会在用户迁移到Windows XP /8时跨平台生效,所以,开发者没有必要专门制作针对Windows 7/8恶意软件。尽管FortiGuard实验室并没有预期64位威胁会立即发起攻击,但Fortinet使用其CPRL、杀毒引擎和FortiSandbox已经能够同时捕获这两种威胁。

网络环境一旦出现转变,其下受到支持的环境也会跟着转变。为了有效地捕捉病毒威胁,FortiSandbox根据现有的网络环境威胁同时在Windows XP和Windows 7/8的虚拟环境中配置资源,并以FortiGate和FortiSandbox整合了新式规避技术侦测功能和目标平台的强化技术。不止如此,FortiSandbox还通过代码仿真和杀毒引擎预过滤为O/S独立检测提供支持。

在今天的威胁形势下,沙盒提供了一个十分有用的新一层防御。使用得当的话,它会成为一个学习设备,最终与网关安全相结合,因此它可以快速识别网络上新的威胁活动并有助于做出事件反应,此类设备之间的集成能力最为关键。FortiGuard实验室不断地发现和监视新出现的规避技术,以便可以快速将反击更新与情报发送给Fortinet解决方案。Fortinet目前支持将FortiSandbox与FortiGate安全网关、FortiClient终端防御软件、FortiWeb WAF、FortiManager集中管理平台和FortiMail邮件安全网关等安全设备加以集成。

原文发布时间为:2015-11-26

时间: 2024-10-29 20:21:47

解密沙盒技术在威胁防御中的应用的相关文章

从流感到计算机病毒:沙盒逃避技术漫谈

流行病研究机构每年都会观察全球的流感病毒,预测明年可能会出现哪种极度危险的病毒,同时准备好相应疫苗以帮助人们减少患病的风险.实际上,这与信息安全研究人员研究恶意软件并开发相应防护工具所做的工作十分类似. 流行感冒病毒以无法预料的方式进行变异,因此之前的疫苗只能提供有限的保护.防范恶意软件的情况也是如此. 曾经在识别威胁的手段中大发神威的沙盒技术,如今已经被网络犯罪分子所熟悉.他们正在使用高端精密的逃避技术来找到避免沙盒控制和检测的方法. 控制恶意软件:隔离是王道 沙盒很像是医学实验室里的细菌培养

Google Chrome浏览器支持沙盒Flash技术

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 除了不断出现的Flash安全漏洞,很多用户经常会使用不更新的Flash插件.因此,Adobe Flash经常成为攻击者的目标. Google Chrome浏览器的一大优点是内置Flash插件.由于Chrome浏览器是通过后台自动升级,因此内置插件总是可以得到及时更新,从而在很大程度上确保了Chrome用户的安全. 除此之外,Chrome还为用

解析:智能沙盒vs.传统沙盒

Michael Cobb是认证信息系统安全架构专家(CISSP-ISSAP),知名的安全作家,具有十多年丰富的IT行业经验,并且还从事过十六年的金融行业.他是Cobweb Applications公司的创始人兼常务董事,该公司主要提供IT培训,以及数据安全和分析的支持.Michael还合著过IIS Security一书,并为领先的IT出版物撰写过无数科技文章.此外,Michael还是微软认证数据库系统管理员和微软认证专家. 在阻止和分析未知安全威胁方面,智能沙盒与普通沙盒技术之间有什么区别?智能

江民打造“云安全”+“沙盒”双重安全体系

继江民科技10月14日率先推出杀毒"沙盒""云安全"防毒系统后,近日,瑞星.金山先后高调推出"云安全"概念,并正式推出以"云安全"为亮点的2009版本.至此,国内三大杀毒厂商都具有了"云安全"系统,并寄希望于这套系统能够有效应对目前迅猛增长的新病毒和互联网威胁.江民科技反病毒专家何公道介绍,江民早在2006年就推出了"云安全"防毒系统, 借助于该套系统,江民每日处理可疑程序和病毒样本数万

电脑杀毒的 “云安全”+“沙盒”双重安全保障体系

继江民科技10月14日率先推出杀毒"沙盒""云安全"防毒系统后,近日,瑞星.金山先后高调推出"云安全"概念,并正式推出以"云安全"为亮点的2009版本.至此,国内三大杀毒厂商都具有了"云安全"系统,并寄希望于这套系统能够有效应对目前迅猛增长的新病毒和互联网威胁. 江民科技反病毒专家何公道介绍,江民早在2006年就推出了"云安全"防毒系统,借助于该套系统,江民每日处理可疑程序和病毒样本数万

利用内存破坏实现python沙盒逃逸

几周之前心痒难耐的我参与了一段时间的漏洞赏金计划.业余这个漏洞赏金游戏最艰巨的任务就是挑选一个能够获得最高回报的程序.不久我就找到一个存在于Python沙盒中执行的用户提交代码的Web应用程序的bug,这看起来很有趣,所以我决定继续研究它. 进过一段时间的敲打之后,我发现了在Python层实现沙盒逃逸的方法.报告归档了,漏洞几天内及时被修复,得到了一笔不错的赏金.完美!这是一个我的漏洞赏金征程的完美开端.但这篇博文不是关于这篇报告的.总之,从技术的角度来说我发现这个漏洞的过程并不有趣.事实证明回

浏览器沙盒是什么

是什么 沙盒(sandbox),另称沙箱,是一种按照安全策略限制程序行为的执行环境."沙盒"技术的实践运用流程是:让疑似病毒文件的可疑行为在虚拟的"沙盒"里充分运行,"沙盒"会记下它的每一个动作:当疑似病毒充分暴露了其病毒属性后,"沙盒"就会执行"回滚"机制:将病毒的痕迹和动作抹去,恢复系统到正常状态. PS:sandbox并不是sandboxie,sandboxie是一种专业沙盒软件. 安全策略 1. 不

iOS开发之应用沙盒

1.应用沙盒概述 每个iOS应用都有自己的应用沙盒(应用沙盒就是文件系统目录),与其他文件系统隔离.应用必须待在自己的沙盒里,其他应用不能访问该沙盒. 应用沙盒的文件系统目录,如下图所示(假设应用的名称叫Layer). 模拟器应用沙盒的根路径在: (apple是用户名, 6.0是模拟器版本) /Users/apple/Library/Application Support/iPhone Simulator/6.0/ Applications [备注]默认情况下,模拟器的目录是隐藏的,要想显示出来

iOS开发技巧之查看模拟器沙盒文件

iOS开发技巧之查看模拟器沙盒文件 iOS开发中,在对数据库进行操作时,有时我们需要直观的查看数据库的内容,那么我们如何找到沙盒中的这个文件呢,步骤很简单: 1.点击Finder选项栏上的前往菜单: 2.选择前往文件夹选项: 前往的文件路径为:/Users/username/Library/Application Support/iPhone Simulator/ 其中username为当前mac电脑的用户名. 3.界面类似如下模样,选择一个版本的模拟器,应用的沙盒文件就在Application