在計算機(jī)領(lǐng)域,沙盒這一概念很早就用以表示一個能夠讓惡意代碼運(yùn)行其中的安全隔離環(huán)境,方便研究人員對惡意代碼進(jìn)行分析。同樣的概念現(xiàn)在被網(wǎng)絡(luò)安全設(shè)備用于執(zhí)行和檢查網(wǎng)絡(luò)信息流,發(fā)現(xiàn)那些躲過了傳統(tǒng)安全措施的惡意代碼。
由于能夠虛擬仿真整個操作系統(tǒng),沙盒便可安全地執(zhí)行可疑代碼,以便觀察其所作所為。包括文檔/磁盤操作、網(wǎng)絡(luò)連接、注冊/系統(tǒng)配置修改等等在內(nèi)的惡意行為因此暴露無遺,從而消除威脅。
為何現(xiàn)在必須采用沙盒技術(shù)?
既然沙盒技術(shù)屬于很早的技術(shù),為什么又突然變得如此重要?因?yàn)楫?dāng)網(wǎng)絡(luò)罪犯了解了更多普通的安全檢測方法時,他們往往會將更多的投入放在安全規(guī)避方法的研發(fā)上。高級持續(xù)性威脅(APT)屬于定制開發(fā)的針對性攻擊。使用前所未見的(或“0day”)惡意軟件,它們可以避開直接檢測來利用薄弱點(diǎn)(沒有修補(bǔ)的安全漏洞)。這些威脅來自于全新的或看似安全的 URL 主機(jī)和 IP 地址。它們的目的是使用那些千方百計繞過安全屏障并盡可能長時間地潛伏在雷達(dá)下的高級代碼技術(shù)來危害它們的目標(biāo)系統(tǒng)。今天,不論是新式入侵威脅,或以全新方式偽裝的舊有入侵威脅,沙盒技術(shù)都可以幫助我們發(fā)現(xiàn)它們。
沙盒與惡意樣本的對抗
沙盒技術(shù)的主要應(yīng)用是準(zhǔn)確地模擬惡意代碼的行為。理想情況下,沙盒中的輸出應(yīng)當(dāng)與代碼在某個終端用戶環(huán)境中運(yùn)行時的輸出完全相同。實(shí)際上,由于所涉及的變量數(shù)量的關(guān)系,產(chǎn)生完全相同的結(jié)果是很困難的。其類似于試圖從種子開始種植兩株完全相同植物的過程;即使極細(xì)微的水、光、溫度和土壤成分的差異都會產(chǎn)生不同的結(jié)果。
漏洞程序(Exploit)與有毒 App(Zpplication):
高級威脅能夠偽裝成為文檔文件來欺騙員工開啟文件(如 Word、Excel 或 Adobe Reader)去運(yùn)行惡意代碼。若要檢測出這種行 為,沙盒必須從頭至尾運(yùn)行一系列的操作系統(tǒng),每個操作系統(tǒng)都要運(yùn)行多個應(yīng)用程序版本。
32 與 64 位,Windows XP 與 Windows7/8:
32 位代碼可同時運(yùn)行于 32 位和 64 為環(huán)境下,因此惡意軟件的作者更青睞 32 位,以獲得最大的感染效果。如今大多數(shù)惡意軟件仍然是可執(zhí)行文件的形式,特別是可移植的可執(zhí)行 32 位格式(PE32) 。PE32 文件能夠同時在 Window XP 和 7/8 的環(huán)境中運(yùn)行,所以大多數(shù)惡意行為都可以在 XP(不支持 64 位代碼)中觀察到,而不需在 7/8 中進(jìn)一步 測試。但運(yùn)行于帶有 CPRL 的 FortiSandbox 的 Fortinet 殺毒引擎完全支持 32 位和 64 位代碼以及多個平臺:Window s、Mac 、 Linux、Android、Window Mobile、iOS 、Blackberry和遺留下來的 Symbian。
FortiSandbox助力企業(yè)應(yīng)對新型威脅
FortiGuard 實(shí)驗(yàn)室觀察到的大多數(shù)威脅都是32 位且用于在Windows XP 環(huán)境中執(zhí)行的。Windows XP仍是一個活躍的市場,也是一個易取的目標(biāo)。若黑客(開發(fā)者)可以編寫32 位惡意軟件,其就會在今天的XP 上生效,也會在用戶遷移到Windows XP /8 時跨平臺生效,所以,開發(fā)者沒有必要專門制作針對Windows 7/8 惡意軟件。盡管FortiGuard 實(shí)驗(yàn)室并沒有預(yù)期64 位威脅會立即發(fā)起攻擊, 但Fortinet 使用其CPRL、殺毒引擎和FortiSandbox 已經(jīng)能夠同時捕獲這兩種威脅。
網(wǎng)絡(luò)環(huán)境一旦出現(xiàn)轉(zhuǎn)變,其下受到支持的環(huán)境也會跟著轉(zhuǎn)變。為了有效地捕捉病毒威脅,F(xiàn)ortiSandbox 根據(jù)現(xiàn)有的網(wǎng)絡(luò)環(huán)境威脅同時在Windows XP 和Windows 7/8 的虛擬環(huán)境中配置資源,并以FortiGate 和FortiSandbox整合了新式規(guī)避技術(shù)偵測功能和目標(biāo)平臺的強(qiáng)化技術(shù)。不止如此,F(xiàn)ortiSandbox 還通過代碼仿真和殺毒引擎預(yù)過濾為O/S 獨(dú)立檢測提供支持。
在今天的威脅形勢下,沙盒提供了一個十分有用的新一層防御。使用得當(dāng)?shù)脑?,它會成為一個學(xué)習(xí)設(shè)備,最終與網(wǎng)關(guān)安全相結(jié)合,因此它可以快速識別網(wǎng)絡(luò)上新的威脅活動并有助于做出事件反應(yīng),此類設(shè)備之間的集成能力最為關(guān)鍵。FortiGuard 實(shí)驗(yàn)室不斷地發(fā)現(xiàn)和監(jiān)視新出現(xiàn)的規(guī)避技術(shù),以便可以快速將反擊更新與情報發(fā)送給Fortinet 解決方案。Fortinet目前支持將FortiSandbox與FortiGate安全網(wǎng)關(guān)、FortiClient終端防御軟件、FortiWeb WAF、FortiManager 集中管理平臺和FortiMail郵件安全網(wǎng)關(guān) 等安全設(shè)備加以集成。