沙盒分析技术如何预警威胁的?
当杀毒软件也失效时,是否意味着APT攻击无法在事前查觉呢?
回归到研究恶意软件最原始的想法,要了解一个程序在运行时,是否带有“恶意”行为,最直接的方法就是让它执行,并对程序的活动进行记录及评估。当然我们
不可能将这样的观察工作,直接在重要的作业环境里执行,因此需要一台独立的计算机或是一个虚拟环境,让程序能在其中“活化”,再进行观察工作,这样的环境
即为沙盒
(Sandbox)。沙盒可用以查觉未知的恶意软件或超链接。较先进的沙盒可同时具备多样化的执行环境,并自动触发恶意软件执行,再进行记录,并保留恶意
软件执行后所留下的痕迹,供进一步观察研究,或自动推论出该程序的目的与危害程度。
虽然沙盒可用以察觉未知恶意软件或超链接,但也并非万灵丹。沙盒的分析方式是通过仿真实际开启程序的情况,这样的分析必然耗时、耗资源。若希望所有来自网络的未知文件都经过沙盒分析检测,再到用户手上,势必导致严重的延迟问题。
许多沙盒解决方案为降低延迟带来的影响,会将沙盒内的模拟环境调整为符合保护目标的环境,并尽量单纯化,如:企业内部的操作系统皆为Windows
XP,则其所实行的沙盒解决方案只需要在Windows
XP的操作系统仿真即可。另一种提高分析效率的方法,是先对全体未知文件进行分类,只将高风险的文件送入沙盒分析,排除防护环境中不使用或低风险的文件。
此外,有部份的沙盒分析解决方案采用旁路分析,再送分析结果的方式来改善延迟问题,但这样的架构却可能导致用户在收到恶意软件与分析结果通知之间的时间差
中,产生信息安全风险。
图为 沙盒的旁路分析架构
组合防卫才是王道
最后需要特别一提的是,沙盒的自动分析环境毕竟不是真的由“人”进行操作的环境,许多恶意软件可以利用这个特性,侦测环境是否为沙盒,再决定其恶意行为
是否表现出来,例如:鼠标活动、桌面文件数量等。虽然这点的确是沙盒的一大盲点,但也不需要太过失望,毕竟没有一种单一的信息安全防卫技术可以完全杜绝信
息安全风险!要有效的降低信息安全风险,需要靠适当的组合防卫与配置。沙盒自动分析的长处在于揭露未知程序的行为,若其分析结果能输出至防火墙、杀毒软
件、防垃圾邮件机制…等达到联防的效果,纵使恶意软件能直接逃逸沙盒的侦测,也不见得能在信息安全设备串联的情况下,躲过其它信息安全防卫机制的扫瞄,这
样便可达到一加一大于二的防护效果!
