沙盒是安全堆栈的重要组成部分,但企业的整个战略不能依赖沙盒来检测所有威胁。从事网络安全工作类似于在罪恶都市当警察,在那里你每天都要面对面地与名字如WannaCry、Petya和“红色十月”等恶棍作战,使用不断变化的战术、技术和设备。经过一轮扫黑除恶,本以为天下太平,这些老对手过几天又回来了……比如2014年发现的Emotet银行木马,最近又以新的面貌重现世间.这个新版本是一个带有.doc后缀的XML文档,利用了大多数沙箱需要真实文件类型来逃避检测的事实。即使真正的文件类型是XML,它仍然在终端上的Word中打开。在Word中打开后,XML文件中的宏会触发PowerShell脚本(第二阶段URL)来下载Emotet负载。Emotet枚举系统上安装的应用程序并检查磁盘空间以确定它是否被沙盒化。如果判断处于沙箱环境,则payload将停止执行。此外,Emotet还有一个长期休眠和延迟机制来阻碍动态分析技术,使沙箱无法检测到恶意行为。聪明的举动!其他最近的威胁也采用了类似的技术来逃避沙盒检测。Bebloh是2009年检测到的一种常见银行木马,最近以针对日本用户的变体重新出现。该版本通过带有宏的Excel电子邮件附件传播,当用户单击该宏时会触发后台命令shell。有趣的是,此变体每次执行时都会检查系统的区域和国家设置。只要语言环境不是日本,宏就会阻止Bebloh执行并退出Excel应用程序。命令shell激活后,Bebloh开始执行PowerShell脚本以从URL获取远程内容。远程内容是另一个PowerShell脚本文件,看起来像RAR文件,嵌入了base64编码的加密DLL。解密DLL的密钥是根据OS文化设置的国家代码生成的。另一个进程使用PowerShell将解密的DLL注入内存,调用其入口点以启动恶意软件。最终结果是整个沙箱环境的区域设置必须设置为JP(日本的国家代码)才能检测到感染链。Bebloh还会检查系统运行时和物理系统特征,只要判断处于沙箱环境就停止执行。网络钓鱼也是沙箱无能为力的领域,因为检测依赖于表现出恶意行为的文件。黑客只需使用包含恶意链接的PDF文件即可逃避检测。具有统一资源标识符(URI)的文档被沙箱检出的可能性很低,而生存时间(TTL)较短的域几乎没有为事后分析或威胁情报服务器留下证据。Emotet、Bebloh和PDF网络钓鱼令人担忧,因为这些威胁都使用非常复杂(如果不是复杂的话)的技术来逃避沙盒环境中的检测。传统上,沙盒被视为一种行之有效的防御Web威胁的方法,可在恶意内容到达用户设备之前对其进行隔离。在过去,这种方法就足够了。检测到,然后置于沙箱环境中,与网络隔离,并进行分析以备将来缓解。到目前为止,该策略一直运作良好。然而,沙盒技术依赖于检测。只要威胁可以伪装自己、自行关闭或以某种方式逃避检测,它就可以随意感染用户的设备并最终渗透到公司网络和关键业务系统。在检测-响应网络安全策略中,一旦威胁越过大门,一切就都结束了。网络威胁策略和技术的不断发展并不少见。恶意软件和其他基于Web的威胁不断发展以对抗传统的网络安全解决方案。道高一尺,魔高一尺的感觉挥之不去。似乎随着安全行业的每一次进步,黑客都能立即想出相应的对策,网络安全战线处于拉锯不断的状态。除了完全基于检测的网络安全策略,我们还可以考虑网络分段和网页隔离。这两种替代解决方案只是删除了用户主机与公共互联网之间的任何连接。网络分离方式往往需要用户使用两台电脑,连接企业网络的电脑无法访问公共互联网。Web隔离方法允许Web浏览操作,但将命令的获取和执行从终端转移到现场或云端的远程隔离服务器。沙箱仍然是安全堆栈的重要组成部分,但企业的整个战略不能仅仅依靠沙箱来检测每一个威胁。非法进入在所难免,总有逃避侦查的威胁;安全策略是限制威胁,让威胁达不到用户,让用户甚至不知道自己经历了什么。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
