■吳俊

解密沙盒技術(shù)威脅防御應(yīng)用

■吳俊

在計(jì)算機(jī)領(lǐng)域，沙盒這一概念很早就用以表示一個(gè)能夠讓惡意代碼運(yùn)行其中的安全隔離環(huán)境，方便研究人員對(duì)惡意代碼進(jìn)行分析。同樣的概念現(xiàn)在被網(wǎng)絡(luò)安全設(shè)備用于執(zhí)行和檢查網(wǎng)絡(luò)信息流，發(fā)現(xiàn)那些躲過(guò)了傳統(tǒng)安全措施的惡意代碼。

由于能夠虛擬仿真整個(gè)操作系統(tǒng)，沙盒便可安全地執(zhí)行可疑代碼，以便觀察其所作所為。包括文檔/磁盤操作、網(wǎng)絡(luò)連接、注冊(cè)/系統(tǒng)配置修改等等在內(nèi)的惡意行為因此暴露無(wú)遺，從而消除威脅。

為何現(xiàn)在必須采用沙盒技術(shù)?

既然沙盒技術(shù)屬于很早的技術(shù)，為什么又突然變得如此重要?因?yàn)楫?dāng)網(wǎng)絡(luò)罪犯了解了更多普通的安全檢測(cè)方法時(shí)，他們往往會(huì)將更多的投入放在安全規(guī)避方法的研發(fā)上。高級(jí)持續(xù)性威脅(APT)屬于定制開(kāi)發(fā)的針對(duì)性攻擊。使用前所未見(jiàn)的(或“0day”)惡意軟件，它們可以避開(kāi)直接檢測(cè)來(lái)利用薄弱點(diǎn)(沒(méi)有修補(bǔ)的安全漏洞)。這些威脅來(lái)自于全新的或看似安全的URL主機(jī)和IP地址。它們的目的是使用那些千方百計(jì)繞過(guò)安全屏障并盡可能長(zhǎng)時(shí)間地潛伏在雷達(dá)下的高級(jí)代碼技術(shù)來(lái)危害它們的目標(biāo)系統(tǒng)。今天，不論是新式入侵威脅，或以全新方式偽裝的舊有入侵威脅，沙盒技術(shù)都可以幫助我們發(fā)現(xiàn)它們。

沙盒與惡意樣本的對(duì)抗

沙盒技術(shù)的主要應(yīng)用是準(zhǔn)確地模擬惡意代碼的行為。理想情況下，沙盒中的輸出應(yīng)當(dāng)與代碼在某個(gè)終端用戶環(huán)境中運(yùn)行時(shí)的輸出完全相同。實(shí)際上，由于所涉及的變量數(shù)量的關(guān)系，產(chǎn)生完全相同的結(jié)果是很困難的。其類似于試圖從種子開(kāi)始種植兩株完全相同植物的過(guò)程;即使極細(xì)微的水、光、溫度和土壤成分的差異都會(huì)產(chǎn)生不同的結(jié)果。

漏洞程序(Exploit)與有毒App(Zpplication):

高級(jí)威脅能夠偽裝成為文檔文件來(lái)欺騙員工開(kāi)啟文件(如Word、Excel或Adobe Reader)去運(yùn)行惡意代碼。若要檢測(cè)出這種行為，沙盒必須從頭至尾運(yùn)行一系列的操作系統(tǒng)，每個(gè)操作系統(tǒng)都要運(yùn)行多個(gè)應(yīng)用程序版本。

32與64 位，Windows XP與Windows7/8:

32位代碼可同時(shí)運(yùn)行于32位和64為環(huán)境下，因此惡意軟件的作者更青睞32位，以獲得最大的感染效果。如今大多數(shù)惡意軟件仍然是可執(zhí)行文件的形式，特別是可移植的可執(zhí)行32位格式(PE32)。PE32文件能夠同時(shí)在Window XP和7/8的環(huán)境中運(yùn)行，所以大多數(shù)惡意行為都可以在XP(不支持64位代碼)中觀察到，而不需在7/8中進(jìn)一步測(cè)試。但運(yùn)行于帶有CPRL的FortiSandbox的Fortinet殺毒引擎完全支持32位和64位代碼以及多個(gè)平臺(tái)：Window s、Mac、Linux、Android、Window Mobile、iOS、Blackberry和遺留下來(lái)的Symbian。

FortiSandbox助力企業(yè)應(yīng)對(duì)新型威脅

FortiGuard實(shí)驗(yàn)室觀察到的大多數(shù)威脅都是32位且用于在Windows XP環(huán)境中執(zhí)行的。Windows XP仍是一個(gè)活躍的市場(chǎng)，也是一個(gè)易取的目標(biāo)。若黑客(開(kāi)發(fā)者)可以編寫32位惡意軟件，其就會(huì)在今天的XP上生效，也會(huì)在用戶遷移到Windows XP/8時(shí)跨平臺(tái)生效，所以，開(kāi)發(fā)者沒(méi)有必要專門制作針對(duì)Windows 7/8惡意軟件。盡管FortiGuard實(shí)驗(yàn)室并沒(méi)有預(yù)期64位威脅會(huì)立即發(fā)起攻擊，但Fortinet使用其CPRL、殺毒引擎和FortiSandbox已經(jīng)能夠同時(shí)捕獲這兩種威脅。

網(wǎng)絡(luò)環(huán)境一旦出現(xiàn)轉(zhuǎn)變，其下受到支持的環(huán)境也會(huì)跟著轉(zhuǎn)變。為了有效地捕捉病毒威脅，F(xiàn)ortiSandbox根據(jù)現(xiàn)有的網(wǎng)絡(luò)環(huán)境威脅同時(shí)在Windows XP和Windows 7/8的虛擬環(huán)境中配置資源，并以FortiGate和FortiSandbox整合了新式規(guī)避技術(shù)偵測(cè)功能和目標(biāo)平臺(tái)的強(qiáng)化技術(shù)。不止如此，F(xiàn)ortiSandbox還通過(guò)代碼仿真和殺毒引擎預(yù)過(guò)濾為O/S獨(dú)立檢測(cè)提供支持。

在今天的威脅形勢(shì)下，沙盒提供了一個(gè)十分有用的新一層防御。使用得當(dāng)?shù)脑?，它?huì)成為一個(gè)學(xué)習(xí)設(shè)備，最終與網(wǎng)關(guān)安全相結(jié)合，因此它可以快速識(shí)別網(wǎng)絡(luò)上新的威脅活動(dòng)并有助于做出事件反應(yīng)，此類設(shè)備之間的集成能力最為關(guān)鍵。FortiGuard實(shí)驗(yàn)室不斷地發(fā)現(xiàn)和監(jiān)視新出現(xiàn)的規(guī)避技術(shù)，以便可以快速將反擊更新與情報(bào)發(fā)送給Fortinet解決方案。Fortinet目前支持將FortiSandbox與FortiGate安全網(wǎng)關(guān)?、FortiClient終端防御軟件、FortiWeb WAF、FortiManager集中管理平臺(tái)和FortiMail郵件安全網(wǎng)關(guān)等安全設(shè)備加以集成。