账号:
密码:
最新动态
产业快讯
CTIMES/SmartAuto / 產品 /
FireEye实验室研究报告概述恶意软件作者用以规避档案式沙盒的技术
该研究运用多流向分析侦测最新规避方法

【CTIMES/SmartAuto 报导】   2013年08月05日 星期一

浏览人次:【1881】

最新型网络攻击防护领导厂FireEye公司今天发布,标题为「易如反掌:恶意软件规避自动化档案式沙盒的方式」(Hot Knives Through Butter: How Malware Evades Automated File-based Sandboxes)的全新报告,透露进阶恶意软件攻击时,用以避开特征码的安全防卫机制的多种技术。现今精密、多型态恶意软件能够利用各种技术躲避、复制或使主机防护失效,使单向档案式沙盒解决方案无法产生任何作用。

资深研究总监暨此报告合著作者?卜(Zheng Bu)表示:「在如今的威胁环境之下,传统的沙盒已无法有效抵挡精密的恶意攻击。恶意软件已逐渐能够判断自身是否执行于虚拟环境,并改变自身行为以避开侦测。若要有效进行侦测,就必须透过多流向分析来探索恶意攻击的行为脉络和相关的各种面向—这正是我们的研究团队于本次研究中找出恶意软件样本的方法。」

FireEye实验室研究团队运用多方位虚拟执行引擎(MVX)的无特征码动态实时侦测能力,找出新的规避技术。

FireEye概略说明了恶意软件作者用来规避档案式沙盒的方法。此类方法通常属于下列一种或多种类别:

-人为互动:涉及人为互动的恶意软件在侦测到人为互动迹象之前,都处于潜伏状态。FireEye在2012年12月发现的UpClicker木马程序利用鼠标点击来侦测人为活动,并且只在侦测到鼠标左键点击后与恶意命令与控制(CnC)服务器建立通讯。

-组态:沙盒会模仿其所保护的实体计算机,但沙盒仍然被设定成特定的参数集。 沙盒多半只会对档案持续监控数分钟,随后即转往下一个档案。因此,网络犯罪份子只需等到沙盒的监控程序完成后再进行攻击即可。

-环境:恶意软件通常会设法利用仅存在于应用程序特定版本的缺陷。如果沙盒的预先定义组态缺少特定的操作系统和应用程序组合,某些恶意软件就不会执行,并且规避侦测。

-典型VMware规避技术:普遍的虚拟机工具VMware,由于组态独特,对恶意软件编写者而言相当实用,因此特别容易辨认。例如,VMWare的独特组态可让恶意软件在执行前先检查是否存在VMWare服务。

安全性专业人员若了解恶意软件作者用以规避档案式沙盒侦测的技术,便能有效防范潜在的进阶性持续威胁(APT)攻击。

關鍵字: 檔案式沙箱的技術  FireEye 
相关产品
FireEye行动威胁防御平台新增Android行动应用程序
FireEye宣布并购Mandiant
攻击台湾的黑客正改变其躲避防御的手法
FireEye推出业界首创实时、不间断的病毒防护平台Oculus
FireEye推出NX 10000威胁防御平台
  相关新闻
» 鸿海科亮相台湾太空国际年会 展现低轨卫星实力
» 荷兰政策专家:科技巨头正在改变世界的政策与民主
» 感测器+机器人+视讯 运用实时监控助农民精准播种
» 工研院携手产业 推动电动物流车应用
» 丽台携手双和医院於2024医疗科技展揭3大展出亮点
  相关文章
» ChipLink工具指南:PCIe® 交换机除错的好帮手
» 创新光科技提升汽车外饰灯照明度
» 以模拟工具提高氢生产燃料电池使用率
» 掌握石墨回收与替代 化解电池断链危机
» SiC MOSFET:意法半导体克服产业挑战的颠覆性技术

刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8C1BKSFY2STACUKI
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw