วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)
ทำการวิเคราะห์แบบไดนามิกของซอฟต์แวร์ที่ไม่รู้จักในสภาพแวดล้อมที่มีการควบคุม - หรือ "แซนด์บ็อกซ์" - ผู้เชี่ยวชาญด้านความปลอดภัยของเครื่องมืออันทรงพลังใช้เพื่อกำจัดมัลแวร์ อย่างไรก็ตามคนร้ายนั้นฉลาดในการใช้เทคนิคนี้และได้แนะนำเทคนิคใหม่ ๆ ในการแยกแซนด์บ็อกซ์ออกสู่ระบบของคุณ
“ การวิเคราะห์แบบไดนามิกเป็นวิธีที่ถูกต้องและผู้คนมากมายทำเช่นนั้น” คริสโตเฟอร์ครูเกลผู้ร่วมก่อตั้งและหัวหน้านักวิทยาศาสตร์ของ บริษัท รักษาความปลอดภัย LastLine กล่าว “ แต่จริงๆแล้วนั่นเป็นเพียงการเกาพื้นผิว” รุ่นเก่าสำหรับโซลูชัน AV มุ่งเน้นไปที่รายการของมัลแวร์ที่รู้จักและป้องกันสิ่งที่ตรงกับรายการนั้น ปัญหาคือว่าวิธีนี้ไม่สามารถป้องกันการโจมตีแบบ zero-day หรือความหลากหลายของมัลแวร์ที่มีอยู่
เข้าสู่ sandbox ซึ่งเรียกใช้งานซอฟต์แวร์ที่ไม่รู้จักในสภาพแวดล้อมที่มีการควบคุมเช่นเครื่องเสมือนและดูเพื่อดูว่ามันทำงานเหมือนมัลแวร์หรือไม่ โดยอัตโนมัติกระบวนการ บริษัท AV สามารถให้การป้องกันเรียลไทม์จากภัยคุกคามที่พวกเขาไม่เคยเห็นมาก่อน
ทำลาย Sandbox
น่าประหลาดใจที่คนร้ายได้แนะนำเครื่องมือใหม่เพื่อหลอกกล่องทรายให้ละเว้นมัลแวร์และปล่อยให้มันผ่านไป Kruegel อ้างถึงสองวิธีที่มัลแวร์เริ่มทำเช่นนี้สิ่งแรกคือการใช้ทริกเกอร์เพื่อสิ่งแวดล้อมซึ่งมัลแวร์จะทำการตรวจสอบอย่างละเอียดเพื่อดูว่ามันทำงานในสภาพแวดล้อมแบบแซนด์บ็อกซ์หรือไม่ บางครั้งมัลแวร์จะตรวจสอบชื่อของฮาร์ดดิสก์ชื่อของผู้ใช้หากมีการติดตั้งโปรแกรมบางอย่างหรือมีเกณฑ์อื่น ๆ
วิธีที่สองและซับซ้อนกว่านี้ Kruegel อธิบายว่าเป็นมัลแวร์ที่กั้นแผงทรายจริงๆ ในสถานการณ์นี้มัลแวร์ไม่จำเป็นต้องเรียกใช้การตรวจสอบใด ๆ แต่จะทำการคำนวณที่ไร้ประโยชน์แทนจนกว่าจะพอใจ Sandbox เมื่อแซนด์บ็อกซ์หมดเวลามันจะส่งมัลแวร์ไปยังคอมพิวเตอร์จริง "มัลแวร์ถูกประหารชีวิตบนโฮสต์จริง ๆ ทำวนซ้ำแล้วทำสิ่งที่ไม่ดี" นายเกวเกลกล่าว "มันเป็นภัยคุกคามที่สำคัญต่อระบบใด ๆ ที่ใช้การวิเคราะห์แบบไดนามิก"
อยู่ในป่าแล้ว
ตัวแปรในเทคนิคการทำลายกล่องทรายเหล่านี้ได้ค้นพบวิธีการโจมตีระดับสูงแล้ว จากข้อมูลของ Kruegel การโจมตีระบบคอมพิวเตอร์ของเกาหลีใต้เมื่อสัปดาห์ที่แล้วมีระบบที่ง่ายมากที่จะหลีกเลี่ยงการตรวจจับ ในกรณีนี้ Kruegel กล่าวว่ามัลแวร์จะทำงานเฉพาะวันที่และเวลา “ ถ้ากล่องทรายมาถึงในวันถัดไปหรือวันก่อนหน้ามันจะไม่ทำอะไรเลย” เขาอธิบาย
Kruegel เห็นเทคนิคที่คล้ายกันในการโจมตี Aramco ซึ่งมัลแวร์นำเครื่องคอมพิวเตอร์หลายพันเครื่องมาที่ บริษัท น้ำมันแห่งตะวันออกกลาง “ พวกเขากำลังตรวจสอบว่าที่อยู่ IP เป็นส่วนหนึ่งของภูมิภาคนั้นถ้ากล่องแซนด์บ็อกซ์ของคุณไม่อยู่ในพื้นที่นั้นมันจะไม่ทำงาน” ครูเกลกล่าว
จากมัลแวร์ LastLine สังเกตเห็น Kruegel บอกว่า SecurityWatch พบว่าพวกเขาพบว่าอย่างน้อยห้าเปอร์เซ็นต์ได้ใช้รหัสถ่วง
การแข่งขัน AV Arms
การรักษาความปลอดภัยแบบดิจิตอลเป็นเรื่องเกี่ยวกับการเพิ่มระดับเสมอมาด้วยมาตรการตอบโต้ที่ตอบโต้การโจมตีตอบโต้ใหม่ ๆ ได้ตลอดเวลา กล่องทรายที่หลบเลี่ยงไม่ต่างไปจาก LastLine ของ บริษัท Kruegel ได้พยายามตรวจสอบมัลแวร์ที่อาจเกิดขึ้นโดยใช้ตัวจำลองรหัสและไม่อนุญาตให้มัลแวร์ที่มีศักยภาพดำเนินการโดยตรง
ครูเกลกล่าวว่าพวกเขายังพยายามที่จะ "ผลักดัน" มัลแวร์ที่อาจเกิดขึ้นให้เข้าสู่พฤติกรรมที่ไม่ดีโดยพยายามที่จะทำลายลูปคอกที่อาจเกิดขึ้น
น่าเสียดายที่ผู้ผลิตมัลแวร์มีนวัตกรรมที่ไม่รู้จบและในขณะที่มีเพียงห้าเปอร์เซ็นต์เท่านั้นที่เริ่มทำงานเพื่อเอาชนะแซนด์บ็อกซ์มันเป็นเรื่องที่แน่นอนว่ามีบางคนที่เราไม่รู้ "เมื่อใดก็ตามที่ผู้ขายออกมาพร้อมกับโซลูชั่นใหม่ ๆ ผู้โจมตีจะปรับตัวและปัญหาแซนด์บ็อกซ์นี้ก็ไม่ต่างอะไร" Kruegel กล่าว
ข่าวดีก็คือว่าในขณะที่การผลักและดึงเทคโนโลยีอาจไม่สิ้นสุดในไม่ช้าเมื่อเร็ว ๆ นี้คนอื่นกำลังกำหนดวิธีการที่ผู้ผลิตมัลแวร์ใช้เพื่อทำเงิน บางทีนี่อาจจะทำให้คนเลวที่แม้แต่การเขียนโปรแกรมที่ฉลาดที่สุดไม่สามารถปกป้องพวกเขาได้: กระเป๋าเงินของพวกเขา