Видео: Ми-ми-мишки - все серии подряд - Мультики для детей (Ноември 2024)
Извършването на динамичен анализ на непознат софтуер в контролирана среда - или „пясъчна кутия“ - е мощен специалист по сигурността на инструментите, който използва за премахване на зловреден софтуер. Въпреки това, лошите момчета са разумни към техниката и въвеждат нови трикове, за да излязат от пясъчната кутия и да влязат във вашата система.
„Динамичният анализ е правилният начин и много хора го правят“, казва Кристофър Крюгел, съосновател и главен учен от охранителната компания LastLine. "Но наистина, това е просто надраскване на повърхността." Старият модел за AV решения се фокусира върху списъци с известни зловредни програми и се предпазва от всичко, което съответства на този списък. Проблемът е, че този метод не може да се предпази от подвизи за нулев ден или безброй вариации на съществуващия зловреден софтуер.
Въведете пясъчник, който изпълнява неизвестен софтуер в контролирана среда, като виртуална машина, и наблюдава дали се държи като зловреден софтуер. Чрез автоматизирането на процеса AV компаниите успяха да осигурят защита в реално време срещу заплахи, които никога не са виждали досега.
Разбиване на пясъчната кутия
Не е изненадващо, че лошите момчета са въвели нови инструменти, за да подмамят пясъчниците, за да пренебрегнат злонамерения софтуер и да го пропуснат. Kruegel цитира два начина, по които злонамереният софтуер е започнал да прави това: първият е използването на задействания за околната среда, при които злонамереният софтуер ще проверява едва забележимо дали работи в пясъчна среда. Понякога зловредният софтуер проверява името на твърдия диск, името на потребителя, ако са инсталирани определени програми или някои други критерии.
Вторият и по-сложен метод, описан от Крюгел, е бил злонамерен софтуер, който всъщност забавя пясъчната кутия. В този сценарий зловредният софтуер не е необходимо да стартира проверки, а вместо това прави безполезни изчисления, докато пясъчната кутия е удовлетворена. След като времето е изтекло, тя предава зловредния софтуер на реалния компютър. "Зловредният софтуер се изпълнява на истинския хост, прави цикъл и след това прави лоши неща", каза Крюгел. „Това е значителна заплаха за всяка система, която използва динамичен анализ.“
Вече в дивата природа
Вариантите на тези техники за разбиване на пясъчниците вече са намерили своя път в атаки с висок профил. Според Крюгел, атаката срещу компютърните системи в Южна Корея миналата седмица имаше много проста система, за да се избегне откриването. В този случай Kruegel заяви, че злонамереният софтуер ще се изпълнява само на определена дата и час. "Ако пясъчната кутия я получи на следващия ден или предния ден, тя не прави нищо", обясни той.
Крюгел видя подобна техника при атаката в Арамко, при която злонамерен софтуер свали хиляди компютърни терминали в близкоизточна петролна компания. „Те проверяваха дали IP адресите са част от този регион, ако вашата пясъчна кутия не е в този район, тя няма да се изпълни“, каза Крюгел.
От зловредния софтуер, който LastLine е забелязал, Крюгел каза пред SecurityWatch, че са установили, че поне пет процента вече използват код за забавяне.
Състезанието на AV Arms
Дигиталната сигурност винаги е била насочена към ескалация с контрамерки, които отговарят на нови контраатаки завинаги. Избягването на пясъчниците не е по-различно, тъй като компанията LastLine на Kruegel вече се е опитала да проучи потенциалния зловреден софтуер по-дълбоко, като използва емулатор на код и никога не позволява на потенциалния зловреден софтуер да се изпълнява директно.
Крюгел каза, че те също се опитват да "прокарат" потенциалния зловреден софтуер в лошо поведение, като се опитват да прекъснат потенциални затварящи контури.
За съжаление производителите на зловреден софтуер са безкрайно иновативни и макар че само пет процента са започнали да работят, за да победят пясъчниците, сигурно е, че има и други, за които не знаем. „Винаги, когато доставчиците излязат с нови решения, атакуващите се адаптират и този проблем с пясъчниците не се различава“, каза Крюгел.
Добрата новина е, че въпреки че технологичното натискане и изтегляне може да не приключи в скоро време, други се насочват към методите, които производителите на зловреден софтуер използват, за да печелят пари. Може би това ще удари лошите, където дори и най-умното програмиране не може да ги защити: техните портфейли.