您的位置: 网界网 > 安全 > 正文

恶意软件检测“沙箱”技术领域不存在万灵药

2013年04月08日 10:38:47 | 作者:岑义涛编译 | 来源:网界网

摘要:美国加利福尼亚大学的研究人员称,恶意软件编写者已经意识到沙箱技术给破坏活动带来的阻碍,并计划进行有针对性的“军备竞赛”。

标签
沙箱
恶意软件
信息安全

美国加利福尼亚大学的研究人员称,恶意软件编写者已经意识到沙箱技术给破坏活动带来的阻碍,并计划进行有针对性的“军备竞赛”。

所谓“沙箱”安全技术,是指以计算机系统为基础对恶意软件的行为与特征进行分析并最终检测出恶意代码的方案。沙箱作为传统中以特征为基础的恶意软件抵御机制的后备方案,已经被视为未来安全领域的新希望,尤其是在发现零日恶意软件及隐身攻击方面更是意义非凡。虽然这种技术有效率相当高,但这位安全研究人员提醒大家技术领域不存在万灵药(这位安全专家曾帮助新兴企业Lastline公司部署沙箱技术)。

在恶意软件检测方面,“沙箱机制不该被视为万灵药,”Christopher Kruegel指出,这位来自圣芭芭拉加州大学计算机科学系的副教授同时也在Lastline公司担任首席科学家,并为该公司打造了属于自己的沙箱技术。之所以提出这样的警告,是因为他发现沙箱方案(尤其是在电子邮件领域)已经成为发现组织破坏及数据窃取等隐身零日攻击的绝佳利器。虽然效果拔群,但其卓越的表现也引发了攻击者们的高度重视。

Palo Alto市的Trend Micro携其WildFire安全服务、FireEye、GFI、AhnLab、Damballa、Norman以及Sourcefire等多家安全企业都已经以各自形式推出沙箱方案;McAfee最近对ValidEdge实施的收购也是为了推出自己的沙箱产品。

但沙箱技术也已经引起了恶意软件编写者们的广泛关注,他们开始寻找各种方式来逃避沙箱检测,Krugel警告称,他将这种趋势称为安全领域的“军备竞赛”。在层出不穷的逃避方式之中,以下信息尤其值得大家引起警惕:

- 停顿代码:根据Lastline公司的说法,“我们称这种新型逃避技术为停顿代码,它能够拖延恶意代码的发作过程、静待沙箱检测流程结束之后再继续执行。然而在此期间恶意软件并不是简单中止,而是继续执行某些无意义的计算活动,这使其从直观角度来看与合法进程高度一致。”经过研究,Lastline公司发现这种机制确实成为沙箱技术的一大“盲点”。

- 沙箱技术执行中的“盲点”:为了监测恶意软件,“沙箱机制会启用hook技术,”Lastline指出。“此类技术能够直接深入程序代码内部以获取函数及库调用过程中产生的通告(回调)信息。直接深入的问题在于,程序代码必须出现变动才能被正确监控。不仅恶意软件能够同样检测到这种变动,动态代码生成(解压缩)也会对其发生干扰。”而且对系统调用指令进行监控的最大局限在于“沙箱机制无法揪出恶意软件在两次调用活动之间所执行的指令。这一显著的盲点很可能被恶意软件编写者所利用;这也正是攻击者开发停顿代码的主要思路,即在系统调用活动间隙运行恶意代码。”

另一种逃避方式则通过环境检查来实现,Lastline公司指出。

- 根据Lastline公司的介绍,恶意软件编写者可以在恶意代码中添加与操作系统相关的新型零日“环境检查”,并通过“操纵返回值”的方式逃避沙箱检测。供应商只能能够安装补丁的方式堵上这类缺口。

Lastline公司一直在努力通过其Previct装置解决沙箱技术面临的诸多挑战,但Kruegel也承认“不存在百分之百的安全性”。

虽然有些信息安全管理人员对沙箱在防御层面的表现非常赞赏,但他们似乎并不认为这能够彻底揪出恶意软件并阻止安全事故的出现——或者说他们根本不相信世界上存在毫无破绽的保护措施。

“沙箱机制确实起到了一定作用,”第一金融银行(该银行采用Sourcefire推出的保护产品)高级网络安全工程师Brad Stroeh表示。他讨论了一系列安全方案的特性及个人对具体方案的信任。恶意软件确实很可能被沙箱测试锁定,因此我们值得将沙箱机制推广到全局防御体系当中。然而由于恶意软件有能力绕过沙箱检查,因此必须将沙箱与其它恶意软件检测方案配合起来才能真正实现安全目标。

[责任编辑:岑义涛 cen_yitao@cnw.com.cn]

我也说几句