Видео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Сентябрь 2024)
Выполнение динамического анализа неизвестного программного обеспечения в контролируемой среде - или «песочнице» - является мощным инструментом, который используют профессионалы в области безопасности для устранения вредоносных программ. Однако, плохие парни мудры в технике и вводят новые уловки, чтобы вырваться из песочницы и в вашу систему.
«Динамический анализ - это правильный путь, и многие люди делают это», - сказал Кристофер Крюгель, соучредитель и главный научный сотрудник компании по безопасности LastLine. «Но на самом деле, это просто царапина на поверхности». Старая модель AV-решений фокусировалась на списках известных вредоносных программ и защищалась от всего, что соответствовало этому списку. Проблема в том, что этот метод не может защитить от эксплойтов нулевого дня или бесчисленных изменений существующих вредоносных программ.
Войдите в «песочницу», которая запускает неизвестное программное обеспечение в контролируемой среде, например на виртуальной машине, и наблюдает, не ведет ли она себя как вредоносное ПО. Автоматизировав процесс, AV-компании смогли обеспечить защиту в реальном времени от угроз, которых они никогда не видели прежде.
Взлом песочницы
Неудивительно, что плохие парни ввели новые инструменты, чтобы обмануть песочницу, игнорируя вредоносное ПО и пропуская его. Крюгель процитировал два способа, которыми вредоносное ПО начало это делать: первое - это использование триггеров среды, где вредоносное ПО будет тщательно проверять, работает ли оно в изолированной среде. Вредоносное ПО иногда проверяет имя жесткого диска, имя пользователя, установлены ли определенные программы, или некоторые другие критерии.
Второй и более изощренный метод, описанный Крюгелем, был вредоносным ПО, которое фактически останавливает «песочницу». В этом сценарии вредоносная программа не должна запускать какие-либо проверки, а вместо этого выполняет бесполезные вычисления, пока песочница не будет удовлетворена. По истечении времени ожидания песочницы вредоносная программа передается на реальный компьютер. «Вредоносная программа запускается на реальном хосте, выполняет свой цикл, а затем совершает плохие действия», - сказал Крюгель. «Это серьезная угроза для любой системы, которая использует динамический анализ».
Уже в дикой природе
Варианты этих методов взлома песочниц уже нашли свое применение в громких атаках. По словам Крюгеля, атака на компьютерные системы Южной Кореи на прошлой неделе была очень простой, чтобы избежать обнаружения. В этом случае Крюгель сказал, что вредоносная программа будет работать только в определенную дату и время. «Если песочница получит ее на следующий день или накануне, она ничего не сделает», - пояснил он.
Крюгель видел подобную технику в атаке Aramco, когда вредоносные программы сбивали тысячи компьютерных терминалов в ближневосточной нефтяной компании. «Они проверяли, что IP-адреса являются частью этого региона, если ваша песочница не находится в этой области, она не будет работать», - сказал Крюгель.
Крюгель сообщил SecurityWatch о вредоносном ПО, которое обнаружил LastLine, и обнаружило, что по крайней мере пять процентов уже используют код блокировки.
AV Arms Race
Цифровая безопасность всегда была обострением с контрмерами, встречающими новые контратаки вверх и вверх навсегда. Уклонение от песочницы ничем не отличается, так как компания Крюгеля LastLine уже стремилась глубже исследовать потенциальное вредоносное ПО, используя эмулятор кода и никогда не позволяя потенциальному вредоносному ПО работать непосредственно.
Крюгель сказал, что они также пытаются «подтолкнуть» потенциальное вредоносное ПО к плохому поведению, пытаясь разорвать потенциальные циклы блокировки.
К сожалению, производители вредоносных программ бесконечно инновационны, и хотя только пять процентов начали работать над песочницами, наверняка есть и другие, о которых мы не знаем. «Всякий раз, когда поставщики предлагают новые решения, злоумышленники адаптируются, и эта проблема с песочницей ничем не отличается», - сказал Крюгель.
Хорошая новость заключается в том, что, хотя технологический толчок может не закончиться в ближайшее время, другие нацеливаются на методы, которые производители вредоносных программ используют для заработка денег. Возможно, это поразит плохих парней, где даже самые умные программы не могут защитить их: их кошельки.
