Video: Google Chrome & Security: Sandboxing (Nobyembre 2024)
Ang pagsasagawa ng dinamikong pagsusuri ng hindi kilalang software sa isang kinokontrol na kapaligiran - o "sandboxing" - isang malakas na tool sa seguridad ng tool na ginagamit upang mapalabas ang malware. Gayunpaman, ang mga masasamang tao ay matalino sa pamamaraan at nagpapakilala ng mga bagong trick upang masira sa sandbox at sa iyong system.
"Ang dinamikong pagsusuri ay ang tamang paraan, at maraming mga tao ang gumagawa nito, " sabi ni Christopher Kruegel, co-founder at punong siyentipiko ng kompanya ng seguridad na LastLine. "Ngunit talaga, iyon ay nagsisimula lamang sa ibabaw." Ang lumang modelo para sa mga solusyon sa AV na nakatuon sa mga listahan ng kilalang malware, at binabantayan laban sa anumang bagay na tumutugma sa listahan na iyon. Ang problema ay ang pamamaraang ito ay hindi maaaring magbantay laban sa zero-day na pagsamantala o ang hindi mabilang na mga pagkakaiba-iba sa umiiral na malware.
Ipasok ang sandboxing, na nagsasagawa ng hindi kilalang software sa isang kinokontrol na kapaligiran, tulad ng isang virtual machine, at mga relo upang makita kung kumilos ito tulad ng malware. Sa pamamagitan ng pag-automate ng proseso, ang mga kumpanya ng AV ay nakapagbigay ng proteksyon sa real-time laban sa mga banta na hindi nila nakita dati.
Paglabag sa Sandbox
Hindi nakakagulat, ang mga masasamang tao ay nagpakilala ng mga bagong tool upang linlangin ang mga kahon ng buhangin sa hindi papansin ang malware at hinahayaan ito. Binanggit ni Kruegel ang dalawang paraan kung saan nagsimula na gawin ito ng malware: ang una ay ang paggamit ng mga nakaka-trigger ng kapaligiran, kung saan ang malware ay malinis na suriin upang makita kung tumatakbo ito sa isang naka-sandwich na kapaligiran. Minsan susuriin ng Malware ang pangalan ng hard disk, ang pangalan ng gumagamit, kung mai-install ang ilang mga programa, o ilang iba pang pamantayan.
Ang pangalawa at mas sopistikadong pamamaraan na inilarawan ni Kruegel ay ang malware na aktwal na nagtitinda ng sandbox. Sa sitwasyong ito, hindi kinakailangang magpatakbo ng anumang mga tseke ang malware ngunit sa halip ay walang saysay na pagkalkula hanggang nasiyahan ang buhangin. Kapag nag-time out ang sandbox, ipinapasa nito ang malware sa aktwal na computer. "Ang malware ay naisakatuparan sa totoong host, ginagawa ang loop nito, at pagkatapos ay gumagawa ng masasamang bagay, " sabi ni Kruegel. "Ito ay isang makabuluhang banta sa anumang system na gumagamit ng isang dynamic na pagsusuri."
Nasa Wild
Ang mga variant sa mga diskarteng ito ng pagbagsak ng sandbox ay natagpuan na ang kanilang paraan sa mga pag-atake ng high-profile. Ayon kay Kruegel, ang pag-atake sa mga South Korea computer system noong nakaraang linggo ay may isang napaka-simpleng sistema upang maiwasan ang pagtuklas. Sa kasong iyon, sinabi ni Kruegel na ang malware ay tatakbo lamang sa isang partikular na petsa at oras. "Kung makukuha ito ng sandbox sa susunod na araw, o sa araw bago, wala itong magawa, " paliwanag niya.
Nakita ni Kruegel ang isang katulad na pamamaraan sa pag-atake ng Aramco, kung saan dinala ng malware ang libu-libong mga terminal ng computer sa isang kumpanya ng langis ng Gitnang Silangan. "Sinuri nila na ang mga IP address ay bahagi ng rehiyon na iyon, kung ang iyong sandbox ay wala sa lugar na iyon, hindi ito papatayin, " sabi ni Kruegel.
Sa malware na napansin ni LastLine, sinabi ni Kruegel sa SecurityWatch na natagpuan nila ang hindi bababa sa limang porsyento ay gumagamit na ng stalling code.
Ang Lahi ng AV Arms
Ang seguridad ng digital ay palaging tungkol sa pagtaas ng mga counter-hakbang na nakakatugon sa mga bagong counter-atake at hanggang sa magpakailanman. Ang pag-iwas ng mga sandbox ay hindi naiiba, dahil ang kumpanya ng Kruegel na LastLine ay naghahangad na siyasatin ang mga potensyal na malware nang mas malalim sa pamamagitan ng paggamit ng isang code emulator at hindi pinapayagan ang mga potensyal na malware na maisakatuparan ang sarili nang direkta.
Sinabi ni Kruegel na sinubukan din nilang "itulak" ang mga potensyal na malware sa masamang pag-uugali, sa pamamagitan ng pagtatangka na masira ang mga potensyal na nakakapigil na mga loop.
Sa kasamaang palad, ang mga gumagawa ng malware ay walang katapusang makabagong at habang limang porsyento lamang ang nagsimulang magtrabaho upang talunin ang mga kahon ng buhangin, sigurado na mapagpipilian na mayroong iba na hindi natin alam. "Tuwing lumabas ang mga vendor ng mga bagong solusyon, umaangkop ang mga umaatake, at ang isyung ito ng sandbox ay hindi naiiba, " sabi ni Kruegel.
Ang mabuting balita ay na habang ang teknolohikal na push at pull ay maaaring hindi magtatapos anumang oras sa lalong madaling panahon ang iba ay target ang mga pamamaraan na ginagamit ng mga tagagawa ng paggawa upang kumita ng pera. Marahil ay matamaan ito ng mga masasamang tao kung saan kahit na ang pinakamatalinong programming ay hindi maprotektahan ang mga ito: ang kanilang mga wallets.
