《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 10年前最具潛力的沙盒不再是銅墻鐵壁

10年前最具潛力的沙盒不再是銅墻鐵壁

2021-11-10
來源:祺印說信安
關(guān)鍵詞: 沙盒 黑客

  沙盒成為人們關(guān)注的焦點(diǎn)已經(jīng)是 10 年前的事了,當(dāng)時(shí)它的出現(xiàn)成為安全行業(yè)的救世主,。但是黑客們不可能坐視不理,現(xiàn)在已經(jīng)出現(xiàn)了各種破壞沙盒的方法,。是時(shí)候該重新考慮沙盒的安全性問題了。

  前言

  曾幾何時(shí),,沙盒技術(shù)是安全行業(yè)最受期待的一項(xiàng)技術(shù)成果,。今天,它被安全研究人員廣泛使用,,嵌入到端點(diǎn)檢測和響應(yīng)(EDR)和下一代防病毒(NGAV)等現(xiàn)代安全解決方案中,,用作軟件開發(fā)工作流程的一部分,并被許多用戶用來測試未知或安全環(huán)境中不受信任的軟件,。據(jù)預(yù)測,,沙盒的市場規(guī)模將從 2016 年的 29 億美元增長到2022 年的 90 億美元。

  然而,,如果您仔細(xì)想想,,其實(shí)沙盒技術(shù)并沒有兌現(xiàn)其最初的承諾。沙盒技術(shù)的承諾是什么,?那就是揭開未知的真面目——將未知變?yōu)橐阎?。但是,有一些威脅即使使用今天的沙盒技術(shù)也無法檢測到,,因此,,有許多企業(yè)或組織因?yàn)槊つ肯嘈虐踩澈卸淮虻妙^破血流。我們可以在多大程度上依賴于沙盒呢,?成為一個(gè)值得討論的話題,。

  在本文中,我將重點(diǎn)討論安全沙盒的故事——什么是沙盒,,它的作用是什么,?沙盒的種類有哪些?沙盒存在哪些問題,?以及為什么我們今天不應(yīng)該依賴沙盒作為唯一可行的安全解決方案,。

  什么是沙盒,它的作用是什么,?

  沙盒(英語:sandbox,,又譯為沙箱)是計(jì)算機(jī)安全領(lǐng)域中的一種安全機(jī)制,為運(yùn)行中的程序提供的隔離環(huán)境,。通常是作為一些來源不可信,、具破壞力或無法判定程序意圖的程序提供實(shí)驗(yàn)之用。

  沙盒通常嚴(yán)格控制其中的程序所能訪問的資源,,比如,,沙盒可以提供用后即回收的磁盤及內(nèi)存空間,。在沙盒中,網(wǎng)絡(luò)訪問,、對真實(shí)系統(tǒng)的訪問,、對輸入設(shè)備的讀取通常被禁止或是嚴(yán)格限制。從這個(gè)角度來說,,沙盒屬于虛擬化的一種,。

  沙盒中的所有改動(dòng)對操作系統(tǒng)不會造成任何損失。通常,,這種技術(shù)被計(jì)算機(jī)技術(shù)人員廣泛用于測試可能帶毒的程序或是其他的惡意代碼,。

  綜上所述,沙盒的作用是阻止應(yīng)用軟件訪問所有系統(tǒng)資源和用戶數(shù)據(jù),。因此,,它成為主動(dòng)進(jìn)行惡意軟件分析和檢測的基礎(chǔ)。就像在安全設(shè)施中進(jìn)行炸彈威力測試一樣,。沙盒測試在安全隔離的環(huán)境中執(zhí)行或引爆代碼,,在該環(huán)境中可以安全地觀察代碼和輸出活動(dòng)的行為。另外,,最近推出的沙盒甚至具備探測和消除威脅的功能,,可以檢測其他工具遺漏的威脅,并幫助管理員快速從生產(chǎn)環(huán)境中刪除這些威脅,。

  沙盒的種類

  一是從沙盒的創(chuàng)建方法上可分為:

  全系統(tǒng)仿真:模擬主機(jī)物理硬件的沙盒,,包括內(nèi)存和 CPU。

  操作系統(tǒng)仿真:模擬最終用戶操作系統(tǒng)的沙盒,。它不模擬機(jī)器硬件。

  虛擬化:基于虛擬機(jī)(VM)的沙盒,,包含并檢查可疑程序,。

  二是從沙盒的安全解決方案上可分為:

  瀏覽器沙盒,例如Google Chrome,、Firefox 和 Safari 中內(nèi)置的沙盒,。

  瀏覽器端點(diǎn)檢測與響應(yīng)(EDR),它可以讓安全團(tuán)隊(duì)了解端點(diǎn)瀏覽器上遭受的攻擊,,并使用沙盒隔離威脅,。

  VirtualBox等通用虛擬機(jī)(VM),也可用于隔離可疑的惡意軟件,。

  安全沙盒“不再安全”的五大原因

  10年前,,沙盒以絢麗的光芒出現(xiàn)在整個(gè)安全行業(yè)面前,它被公認(rèn)為是可以徹底解決所有安全問題的神奇魔法,。然而,,就像世界上所有的安全解決方案都會受到攻擊者的研究分析一樣,,沙盒也開始逐漸成為攻擊者關(guān)注的焦點(diǎn)。現(xiàn)在,,沙盒同其它安全軟件一樣,,淪落為可以被攻掠的安全解決方案之一。

  從目前的情況來看,,無條件地盲目相信和信任沙盒是非常不安全的,。也就是說,現(xiàn)在僅憑沙盒無法解決所有安全問題,。以下是沙盒不再安全且無法在企業(yè)環(huán)境中用作有效安全控制的五個(gè)原因:

  其一,,在調(diào)查和分析過程中使用沙盒仍然是一種不錯(cuò)選擇。但是,,在威脅檢測方面,,沙盒并不可靠。在沙盒中進(jìn)行檢測需要一定的時(shí)間,,這是因?yàn)楸仨氁獙?shí)際運(yùn)行惡意軟件,,才能真正觸發(fā)惡性行為。因此,,在當(dāng)今這個(gè)惡意軟件和可疑程序?qū)映霾桓F,、亟待分析的時(shí)代,使用沙盒作為檢測工具是低效的,。沙盒只能用于已知或可疑性比較大的惡意軟件的調(diào)查和分析——這意味著必須有一個(gè)預(yù)先檢測機(jī)制,。

  其二,對于當(dāng)前的攻擊者來說,,逃離沙盒并不是一件難事?,F(xiàn)有的可實(shí)現(xiàn)權(quán)限提升的漏洞不計(jì)其數(shù),其中大部分都與 Windows 內(nèi)核有關(guān),。如果獲得內(nèi)核權(quán)限,,就可以逃離沙盒。對于攻擊者來說,,在暗網(wǎng)上尋找并購買提升權(quán)限的漏洞是件非常簡單的事情,。

  其三,沙盒容易受到社會工程攻擊的影響,。幾乎所有的沙盒環(huán)境都是在特定用戶的權(quán)限下管理的,。也就是說,如果慫恿或欺騙負(fù)責(zé)管理的用戶,,以某種方式阻止特定軟件通過沙盒,,那么再強(qiáng)大的沙盒也會失效。這種行為可以通過社交工程攻擊實(shí)現(xiàn),,而網(wǎng)絡(luò)攻擊者往往十分擅長社會工程攻擊,。

  其四,,沙盒的界面并不完美。無論是第一次接觸沙盒環(huán)境的人,,還是因過于熟悉沙盒環(huán)境而失去更多警惕性的用戶,,只要不小心點(diǎn)擊一下,都足以將沙盒中的各種惡意軟件釋放到生產(chǎn)環(huán)境中,。

  其五,,最新推出的惡意軟件基本都具備規(guī)避檢測和迂回技術(shù)。多年來,,攻擊者一直致力于沙盒規(guī)避技術(shù)的研究,。許多類型的惡意軟件使用諸如延遲執(zhí)行、鼠標(biāo)和鍵盤輸入模式分析,、硬件環(huán)境評估和其他檢查等技術(shù)來識別惡意軟件是在沙盒中還是在真實(shí)用戶環(huán)境中,。如果發(fā)現(xiàn)是在沙盒環(huán)境中,惡意軟件會立即停止工作,,還可以避開沙盒環(huán)境直接滲透到主機(jī)環(huán)境中,。有些攻擊者甚至能夠利用虛擬機(jī)軟件的安全漏洞來發(fā)動(dòng)攻擊,對虛擬機(jī)造成損壞,。

  基于上述原因,,我們可以得出結(jié)論:只依賴于沙盒作為唯一的安全防護(hù)措施是不行的,是不安全的,。

  更高級的沙盒可以解決這些問題嗎,?

  答案是悲觀的。在攻擊者和沙盒開發(fā)者之間正在進(jìn)行的“軍備競賽”中,,一方開發(fā)更復(fù)雜的技術(shù)來逃避或逃離沙盒,,而另一方則改進(jìn)檢測和遏制此類攻擊的措施。但是,,沙盒技術(shù)研發(fā)人員在這場“競賽”中處于劣勢,。

  惡意軟件技術(shù)每提升一次,理論上就可以使用任意數(shù)量的資源來規(guī)避或破壞沙盒,。但是,由于沙盒需要進(jìn)行大量的掃描,,因此必須非常高效,。然而,隨著沙盒變得越來越復(fù)雜,,它們也變得更加繁瑣,、更占用資源——這使得沙盒在生產(chǎn)活動(dòng)中的實(shí)用性也變得越來越低。

  即便如此,,我們也并不主張廢除沙盒,,不能說沙盒是無用之物,。只是強(qiáng)調(diào)沙盒技術(shù)也擺脫不了黑客和安全行業(yè)之間的“軍備競賽”。安全行業(yè)應(yīng)該始終領(lǐng)先于黑客一步,,但以現(xiàn)在的狀態(tài),,沙盒技術(shù)無法做到這一點(diǎn),現(xiàn)在黑客技術(shù)比現(xiàn)有的沙盒技術(shù)更高一籌,?!暗栏咭怀吣Ц咭徽伞保覀円胝镜酶?,就要解決剛才提到的五個(gè)問題,。

  在此之前,所有將沙盒作為其防御系統(tǒng)基本框架的組織都應(yīng)該清醒地認(rèn)識到“沙盒是當(dāng)今不安全的技術(shù)”,?;谶@個(gè)事實(shí),我們應(yīng)該構(gòu)建一個(gè)新的防御架構(gòu),。即使現(xiàn)在的沙盒技術(shù)比黑客領(lǐng)先一步,,時(shí)間也不會太長。因?yàn)楹诳蛡儠ㄟ^一次又一次的研究不斷地改進(jìn)攻擊策略,。因此,,我們必須要有長遠(yuǎn)的眼光來完善和保護(hù)我們的沙盒,或者開始評估其他安全措施,,以取代或補(bǔ)充曾經(jīng)久負(fù)盛名的安全沙盒,。

  結(jié)語

  沙盒技術(shù)是運(yùn)行風(fēng)險(xiǎn)應(yīng)用程序或者訪問潛在危險(xiǎn)網(wǎng)站的嘗試性技術(shù),有很多方法可以創(chuàng)建沙盒環(huán)境,。但首先,,我們需要考慮與沙盒技術(shù)有關(guān)的所有因素和所有風(fēng)險(xiǎn)問題。安全防護(hù)永遠(yuǎn)都應(yīng)該是多層次多方面的,,所以我們不能僅僅依賴于沙盒環(huán)境來提供全面的保護(hù),。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]