恶意软件沙盒规避技术与原理介绍
发布时间:2022-07-12 14:48:30 所属栏目:安全 来源:互联网
导读:随着黑客正在实施最新技术来绕过防护,网络攻击正变得越来越复杂。勒索软件和0 day供击是过去几年中最普遍的威胁,如今逃避沙盒的恶意软件将成为网络攻击者未来的主要武器。 沙盒技术被广泛用于恶意软件的检测和预防,因此,黑客一直寻找方法让他们的恶意软
|
随着黑客正在实施最新技术来绕过防护,网络攻击正变得越来越复杂。勒索软件和0 day供击是过去几年中最普遍的威胁,如今逃避沙盒的恶意软件将成为网络攻击者未来的主要武器。 沙盒技术被广泛用于恶意软件的检测和预防,因此,黑客一直寻找方法让他们的恶意软件在沙盒中保持不活动状态。这样,逃避沙箱的恶意软件可以绕过保护并执行恶意代码,而不会被现代网络安全解决方案检测到。 在本文中,我们描述了恶意软件用来避免沙箱分析的技术,并说明了用于检测逃避沙箱的恶意软件的现有方法。本文对于正在开发网络安全解决方案的开发人员很有用。 在讨论逃避沙箱的恶意软件之前,让我们定义什么是沙箱。沙箱是一种用于恶意软件检测的自动化技术,已被传统的防病毒程序和其他安全应用程序广泛使用。通过将潜在危险的程序放置在不会造成任何危害的受控虚拟环境中,安全软件可以分析恶意软件的行为并开发针对该恶意软件的保护措施。 什么是逃避沙箱的恶意软件? 逃避沙箱的恶意软件是一种新型恶意软件,可以识别出它自身是否在沙箱或虚拟机环境中。这些恶意软件只有在被控环境之外才会执行其恶意代码。 逃避沙箱的恶意软件的真实示例 近年来,通过逃避沙盒的恶意软件进行的攻击越来越多。尽管他们以不同的方式攻击计算机,但他们都使用了允许恶意软件感知其环境的技术。以下是一些逃避沙箱的恶意软件的示例: · 2016年发布的Locky勒索软件是逃避沙箱的经典示例。Locky是通过感染了加密DLL文件的JavaScript代码传播的。该恶意软件要求使用run32dll.exe来执行DLL。但是,run32dll.exe在沙盒环境中不可用,所以,这使得恶意软件无法被检测到。另一个来自Locky家族的恶意软件KeRanger,是在下载到系统三天后才开始起作用。 · 在2018年中,在中东发现了新版本的RogueRobin木马。这种面向政府的恶意软件是通过电子邮件在附加的RAR存档中传播的。一旦启动,该恶意软件使用一个虚拟机映像来验证它运行的系统的BIOS版本、CPU内核和物理内存,并且不会在沙盒中运行。 · 在2019年,黑客利用HAWKBALL后门攻击中亚的政府部门。该恶意软件利用Microsoft Office漏洞传递有效负载并收集系统信息。它能够执行本机Microsoft命令,调查主机,甚至可以验证其使用的进程是否已调试。 · 2019年3月,检测到一个使用改进的沙盒规避技术的macOS恶意软件的新样本。与以前的版本相比,OSX_OCEANLOTUS.D具有带有UPX字符串的Mach-O签名,这使得它在虚拟环境中的静态分析过程中不会被察觉。此外,该后门可执行文件还会检查它是否已连接到调试器,并收集了有关主机的数据。  (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号