Video: How To Setup A Sandbox Environment For Malware Analysis (Tháng Chín 2024)
Thực hiện phân tích động các phần mềm không xác định trong môi trường có kiểm soát, hoặc "Sandboxing" là một chuyên gia bảo mật công cụ mạnh mẽ sử dụng để loại bỏ phần mềm độc hại. Tuy nhiên, những kẻ xấu rất khôn ngoan với kỹ thuật này và đã đưa ra các thủ thuật mới để thoát ra khỏi hộp cát và vào hệ thống của bạn.
"Phân tích động là cách đúng đắn, và rất nhiều người làm điều đó", Christopher Kruegel, đồng sáng lập và nhà khoa học trưởng của công ty bảo mật LastLine cho biết. "Nhưng thực sự, đó chỉ là trầy xước bề mặt." Mô hình cũ cho các giải pháp AV tập trung vào danh sách các phần mềm độc hại đã biết và bảo vệ chống lại mọi thứ phù hợp với danh sách đó. Vấn đề là phương pháp này không thể bảo vệ chống lại việc khai thác 0 ngày hoặc vô số biến thể trên phần mềm độc hại hiện có.
Nhập hộp cát, thực thi phần mềm không xác định trong môi trường được kiểm soát, như máy ảo và theo dõi để xem liệu nó có hoạt động như phần mềm độc hại hay không. Bằng cách tự động hóa quy trình, các công ty AV đã có thể cung cấp sự bảo vệ theo thời gian thực trước các mối đe dọa mà họ chưa từng thấy trước đây.
Phá vỡ hộp cát
Không có gì đáng ngạc nhiên, những kẻ xấu đã giới thiệu các công cụ mới để lừa các hộp cát bỏ qua phần mềm độc hại và để nó qua. Kruegel đã trích dẫn hai cách mà phần mềm độc hại đã bắt đầu thực hiện điều này: đầu tiên là sử dụng các kích hoạt môi trường, trong đó phần mềm độc hại sẽ kiểm tra một cách tinh tế để xem liệu nó có chạy trong môi trường hộp cát không. Phần mềm độc hại đôi khi sẽ kiểm tra tên của đĩa cứng, tên của người dùng, nếu một số chương trình được cài đặt hoặc một số tiêu chí khác.
Phương pháp thứ hai và phức tạp hơn mà Kruegel mô tả là phần mềm độc hại thực sự ngăn chặn hộp cát. Trong trường hợp này, phần mềm độc hại không cần phải chạy bất kỳ kiểm tra nào mà thay vào đó, các tính toán vô dụng cho đến khi hộp cát được thỏa mãn. Khi hộp cát đã hết thời gian, nó sẽ chuyển phần mềm độc hại vào máy tính thực tế. "Phần mềm độc hại được thực thi trên máy chủ thực sự, thực hiện vòng lặp của nó và sau đó thực hiện những điều xấu", Kruegel nói. "Đó là một mối đe dọa đáng kể cho bất kỳ hệ thống nào sử dụng phân tích động."
Đã ở trong tự nhiên
Các biến thể trên các kỹ thuật phá hộp cát này đã tìm được đường vào các cuộc tấn công cao cấp. Theo Kruegel, cuộc tấn công vào hệ thống máy tính của Hàn Quốc tuần trước có một hệ thống rất đơn giản để tránh bị phát hiện. Trong trường hợp đó, Kruegel nói rằng phần mềm độc hại sẽ chỉ chạy vào một ngày và giờ cụ thể. "Nếu hộp cát lấy nó vào ngày hôm sau, hoặc ngày hôm trước, nó sẽ không làm gì cả", ông giải thích.
Kruegel đã thấy một kỹ thuật tương tự trong vụ tấn công Aramco, nơi phần mềm độc hại đã đánh sập hàng ngàn thiết bị đầu cuối máy tính tại một công ty dầu lửa ở Trung Đông. "Họ đã kiểm tra xem các địa chỉ IP là một phần của khu vực đó, nếu hộp cát của bạn không nằm trong khu vực đó, nó sẽ không thực thi", Kruegel nói.
Trong số các phần mềm độc hại mà LastLine đã quan sát thấy, Kruegel nói với SecurityWatch rằng họ đã tìm thấy ít nhất năm phần trăm đã sử dụng mã bị đình trệ.
Cuộc đua vũ trang AV
An ninh kỹ thuật số luôn luôn leo thang với các biện pháp đối phó đáp ứng các cuộc phản công mới lên và mãi mãi. Việc trốn tránh các hộp cát cũng không khác, vì công ty LastLine của Kruegel đã tìm cách điều tra phần mềm độc hại tiềm năng sâu hơn bằng cách sử dụng trình giả lập mã và không bao giờ cho phép phần mềm độc hại tiềm năng tự thực thi trực tiếp.
Kruegel nói rằng họ cũng cố gắng "đẩy" phần mềm độc hại tiềm tàng vào hành vi xấu, bằng cách cố gắng phá vỡ các vòng lặp đình trệ tiềm năng.
Thật không may, các nhà sản xuất phần mềm độc hại luôn đổi mới vô tận và trong khi chỉ có năm phần trăm bắt đầu làm việc để đánh bại các hộp cát, thì chắc chắn có những người khác mà chúng ta không biết. "Bất cứ khi nào các nhà cung cấp đưa ra các giải pháp mới, những kẻ tấn công thích nghi và vấn đề hộp cát này cũng không khác, " Kruegel nói.
Tin tốt là trong khi công nghệ đẩy và kéo có thể sẽ không kết thúc bất cứ lúc nào sớm, những người khác đang nhắm mục tiêu các phương thức mà các nhà sản xuất phần mềm độc hại sử dụng để kiếm tiền. Có lẽ điều này sẽ đánh vào những kẻ xấu mà ngay cả những lập trình thông minh nhất cũng không thể bảo vệ chúng: ví của họ.
