Sandbox是分析可疑物件和偵測惡意行為的最有效工具之一,不同的保安方案都以不同形式部署了這技術,不過偵測的準確率與Sanbox的模擬環境有直接關係,想提升效率就要先瞭解Sandbox的運作。
甚麼是Sandbox?
Sanbox是創建隔離環境來分析可疑程序的工具,通常都在虛擬機器或container內進行,容許分析師測試潛在惡意特件而不用冒真實工作環境被感染、受損或資料外洩的風險。例如,在Kaspersky Anti Targeted Attack (KATA)平台上的Sandbox的運作如下:如果有保安方案的元件偵測到危險或可疑特件(例如一個檔案或網址),便會傳送到有工作環境詳情(OS版本、已安裝程式、系統設定等等)的Sandbox進行掃瞄,Snadbox會執行該物件或瀏覽網址,從而記錄所有有用的資料:
- 執行紀錄、包括API call、檔案執行、網絡活動、特件存取的程序和網址
- 系統和記憶snapshot
- 創建(解封或下載)的物件
- 網絡流量
在測試的劇本完成後,所有收集到的資料會進行分析和掃瞄以追蹤惡意活動,一旦有所發現,物件便會被標示為惡意,其技術、策略和過程都會記錄在MITRE ATT&CK matrix之內,所以數據會儲存作進一步分析。
Sandbox的挑戰
Sandbox的最大挑戰是網絡犯罪份子認識它,而且持續完善躲避偵測的方法,為了規避Sandbox的防護,攻擊者聚焦於開發技術去偵測虛擬環境的特定功能,用來偵測是否在Sandbox或虛擬用戶的不自然行為,如果偵測到或懷疑到相關跡象,惡意程式便會改變它的行為或自我毀滅。
在Targeted Attack內所使用的惡意程式,網絡犯罪份子細心分析操作系統的設定和目標裝置上所使用的程式,只有在軟件和系統完全符合攻擊者的「預期」惡意行為才會觸發,惡意程式能夠根據時間間隔、用戶特定活動之後才開始「工作」。
如何讓虛擬環境更加真實
為了「騙」網絡威脅在安全的環境內運行,不妨考慮以下各方面的部署:
- 多樣化和隨機化虛擬環境,創建複數Sandbox具備不同的軟件安裝和設定組合
- 模擬真實用戶行為,包括輸入密碼的速度、觀看文字檔、移動游標和點擊滑鼠
- 使用另一台物理(非虛擬)機器與工作環境隔離,分析可疑物件涉及硬件攻擊和裝置驅動程式
- 使用目標環境真實工作台的鏡像,包括操作系統、程式設定、插件和保安設定
Kaspersky的Sandbox具備以上的技術,能模擬真實用戶的行為,部署隨機環境,以及在人手或自動模式下運作,最近的更新後用戶能在操作系統的選擇中客製系統鏡像和安裝第三方程式。
資料來源:Kaspersky Blog