悬念大师希区柯克曾说过:“我是一个被定型的导演。即使我拍灰姑娘,观众也会在影片中寻找尸体。”
作为一种恶意软件作者都能预料到的以某种方式运行的安全手段,用于对抗高级恶意软件的沙盒技术同样被“定型”。网络罪犯正在逐渐利用这一点不断发明新的技术以绕过这一防线,即通常所说的沙盒逃逸。
沙盒逃逸并非新现象,恶意软件通过识别自身处于沙盒环境而进入“休眠”以迫使沙盒检测超时。但是,随着安全分析工具在侦测休眠进程上越来越有效,恶意软件作者又不断开发出新的策略来规避沙盒。比如在最近发现的Rombertik恶意软件、垂钓者(Angler)、Upatre恶意软件变种和恶意微软Office文档中所使用的那些逃逸技术。
Rombertik的案例中,该恶意软件将一个随机数写入内存9.6亿次。由于没有真正陷入休眠,沙盒无法确定这一应用程序是不是有意拖延。另外,冗余或“垃圾”代码也迫使安全分析花费更多时间审查和分析恶意软件。
鉴于攻击者持续创新,也许防护者的恶意软件分析工具也应该拥有超越传统沙盒技术的能力了。
目前部署沙盒技术的3种典型方式:
- 作为独立解决方案,不依赖于其他安全产品
- 集成进基于网络的安全设备中,比如防火墙、入侵防护系统(IPS)或同一威胁管理系统(UTMs)
- 集成进安全内容网关,比如网页或电子邮件网关
尽管每种部署选项都有利有弊,传统沙盒技术通常用的都是同样的运行方式:抽取可疑样本;在本地虚拟机中分析;产生分析报告。其缺陷也类似:可以被环境敏感的高级恶意软件绕过;不采用也不分享可以用来识别穿透了网络的恶意软件的数据;修复功能相当有限。
因此,是时候对传统沙盒技术做改进了。为迎战采用高级规避战术的恶意软件,公司需要更强有力的恶意软件分析工具作为集成威胁防御战略的一部分,分析工具应具备在恶意软件穿透初级防线后追溯式扫描并识别之的能力。这就要求恶意软件分析方法是集成的、充分结合环境的,且具备溯源能力。
集成:恶意软件分析应是横跨安全架构的一个集成组件,从防火墙到电子邮件和网页安全网关,到网络和终端安全解决方案。灵活的部署选项是满足一系列要求和适应现有基础设施必不可少的。
充分结合环境:环境对于知晓真正的威胁所在和加速响应非常关键。充分结合环境的恶意软件分析可以提供基于垂直或历史分布范围的信息;糅合全局和局部的情报、攻击行为指标、威胁情报反馈和其他材料;发布能反映基于公司基础设施具体特征的恶意度的威胁评分。
追溯性安全:这一能力可使安全团队识别已经穿透网络的恶意软件,看清文件在企业内的流转轨迹,隔离任何受感染的设备,在设备重连入网络前执行自动或手动修复。追溯性安全对于加速检测时间(TTD)和响应非常关键。
绝大多数人都认同阿尔弗雷德·希区柯克是史上最伟大电影导演之一。是的,他被“定型”了,但他同时也开拓了未来几代人都在持续发展的悬念和心理惊悚流派中的许多技术。这就是恶意软件分析所需要的。我们需要充分利用传统方法所能提供的一切然后创新,以迎战那些资源充足且总在进步的攻击者。