沙盒
大量木马病毒的开发者想方设法在被感染的计算机上执行他们的恶意代码,而更复杂的高级持续性威胁(APT)背后的谋划者则尽量”避免”执行代码,这样一来,他们便可以绕过尤其是沙盒的安全技术。
沙盒及逃逸技术
所谓的沙盒技术是鉴别恶意行为的基本工具之一,它本质上是一个受控制的隔离环境。杀毒软件可以在此环境中运行可疑代码并分析它的所有行为,这一切都不会给真实的计算机系统造成损害。如果检测到任何恶意行为,杀毒软件可以阻止相关代码在沙盒外运行。
沙盒这种控制方法对大多数威胁都十分有效,安全厂商也在大多数安全软件中以各种方式实现了这一机制。也正因此,网络不法分子们已经发明了一种技术,专门检测恶意软件是运行在被控制的环境中还是运行在真实操作系统中。最简单的方法包括试图访问外部服务器(通常沙盒都会阻断这种访问)或者检查系统参数,如果什么地方出了问题,恶意软件通常会自毁,并且不会留下任何攻击痕迹,这让安全研究人员的工作变得愈发复杂。更高级的一些威胁还会检测系统中是否有真实的用户,如果代码执行过程中没有任何人为活动的痕迹,那说明代码可能是在沙盒中运行。
我们对此也自然做出了反应,改进了我们的反逃逸技术。我们的基础架构中包含了一种十分强大的沙盒技术,它可以模拟各种不同环境,并吸收了卡巴斯基对所有潜在恶意行为积累的知识。安全研究人员可以通过我们的卡巴斯基云沙盒解决方案远程使用部分的沙盒功能。
但是对于专门设有安全运营中心的大公司来说,远程沙盒有时并不适用。首先,许多内部或外部的规定禁止将包括可疑代码在内的任何信息传至第三方服务器。其次,为攻击个别公司而设计的恶意软件可以针对特定基础架构做一些条件检查,比如检查某高度专业化的软件是否存在于系统中。我们对此的解决方案是卡巴斯基沙盒,它可以部署在企业的基础架构之内。
卡巴斯基沙盒的关键特性
卡巴斯基沙盒不会从企业架构中传送任何数据,必要时它会使用工作在数据二极管模式下的卡巴斯基私有安全网络。而它最主要的优点是允许研究人员搭建自己的模拟环境,这意味着他们可以创造出和公司员工使用的工作站一模一样(包括所有特定的软件和网络设置)的隔离环境,并在此环境中研究可疑对象的行为。
此外,卡巴斯基沙盒技术不仅利用高级行为分析工具追踪隔离环境中的所有事件,它还可以模拟系统中的人为活动。因此,即便是针对特定公司基础架构而设计的安全威胁,我们的沙盒也支持对它的引爆、分析和检测。我们的解决方案可以模拟出运行微软Windows系统和运行安卓系统的机器。你可以在卡巴斯基沙盒的页面中了解更多。
提示