帳號:
密碼:
最新動態
產業快訊
CTIMES/SmartAuto / 產品 /
FireEye實驗室研究報告概述惡意程式作者用以規避檔案式沙箱的技術
該研究運用多流向分析偵測最新規避方法

【CTIMES/SmartAuto 報導】   2013年08月05日 星期一

瀏覽人次:【1925】

最新型網路攻擊防護領導廠FireEye公司今天發佈,標題為「易如反掌:惡意程式規避自動化檔案式沙盒的方式」(Hot Knives Through Butter: How Malware Evades Automated File-based Sandboxes)的全新報告,透露進階惡意程式攻擊時,用以避開特徵碼的安全防衛機制的多種技術。現今精密、多型態惡意程式能夠利用各種技術躲避、複製或使主機防護失效,使單向檔案式沙箱解決方案無法產生任何作用。

資深研究總監暨此報告合著作者?卜(Zheng Bu)表示:「在如今的威脅環境之下,傳統的沙箱已無法有效抵擋精密的惡意攻擊。惡意程式已逐漸能夠判斷自身是否執行於虛擬環境,並改變自身行為以避開偵測。若要有效進行偵測,就必須透過多流向分析來探索惡意攻擊的行為脈絡和相關的各種面向—這正是我們的研究團隊於本次研究中找出惡意程式樣本的方法。」

FireEye實驗室研究團隊運用多方位虛擬執行引擎(MVX)的無特徵碼動態即時偵測能力,找出新的規避技術。

FireEye概略說明了惡意程式作者用來規避檔案式沙箱的方法。此類方法通常屬於下列一種或多種類別:

-人為互動:涉及人為互動的惡意程式在偵測到人為互動跡象之前,都處於潛伏狀態。FireEye在2012年12月發現的UpClicker木馬程式利用滑鼠點擊來偵測人為活動,並且只在偵測到滑鼠左鍵點擊後與惡意命令與控制(CnC)伺服器建立通訊。

-組態:沙箱會模仿其所保護的實體電腦,但沙箱仍然被設定成特定的參數集。 沙箱多半只會對檔案持續監控數分鐘,隨後即轉往下一個檔案。因此,網路犯罪份子只需等到沙箱的監控程序完成後再進行攻擊即可。

-環境:惡意程式通常會設法利用僅存在於應用程式特定版本的缺陷。如果沙箱的預先定義組態缺少特定的作業系統和應用程式組合,某些惡意程式就不會執行,並且規避偵測。

-典型VMware規避技術:普遍的虛擬機器工具VMware,由於組態獨特,對惡意程式編寫者而言相當實用,因此特別容易辨認。例如,VMWare的獨特組態可讓惡意程式在執行前先檢查是否存在VMWare服務。

安全性專業人員若了解惡意程式作者用以規避檔案式沙箱偵測的技術,便能有效防範潛在的進階性持續威脅(APT)攻擊。

關鍵字: 檔案式沙箱的技術  FireEye 
相關產品
FireEye行動威脅防禦平台新增Android行動應用程式
FireEye宣佈併購Mandiant
攻擊台灣的駭客正改變其躲避防禦的手法
FireEye推出業界首創即時、不間斷的病毒防護平台Oculus
FireEye推出NX 10000威脅防禦平台
  相關新聞
» 醫療IT專家預測:2025年AI與自動化將重塑醫療保健
» 大葉大學攜手成大深化培育半導體專業人才
» 醫療IT專家預測:2025年AI與自動化將重塑醫療保健
» 日本政府斥資逾3千億日圓 扶植半導體產業
» OpenAI 推出全新AI系統o3 推理能力超越業界翹楚
  相關文章
» 汽車微控制器技術為下一代車輛帶來全新突破
» 以馬達控制器ROS1驅動程式實現機器人作業系統
» 推動未來車用技術發展
» 節流:電源管理的便利效能
» 開源:再生能源與永續經營

刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.3.15.203.195
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw