|
|
檢查噴砂沙箱的法術也是P羅普攻擊 遠程控制軟件,灰鴿子下載
檢查軟件升級計數(shù)器一個攻擊者用來逃避傳統(tǒng)沙箱技術
2.jpg (43.15 KB, 下載次數(shù): 1813)
下載附件
2015-9-3 11:28 上傳
檢查升級它的沙盒技術因此捕獲早些時候襲擊過程中,使敵人更難逃避檢測��。
稱為噴砂,新軟件監(jiān)控CPU活動尋找異常,表明攻擊者使用先進的方法,與傳統(tǒng)的沙盒技術被忽視,據(jù)Nathan Shuchami,威脅預防銷售主管�����。
傳統(tǒng)沙箱,包括檢查,確定文件是否合法,他們在虛擬環(huán)境中去看他們做什么����。
讓過去的沙箱攻擊者設計了逃避技術,如延遲執(zhí)行,直到沙箱放棄或沉睡,直到機器試圖感染重新啟動。
噴砂會把他們逃避技術面向返回編程(ROP),使運行惡意可執(zhí)行代碼的數(shù)據(jù)文件��。
盡管保護執(zhí)行預防(DEP)提供的數(shù)據(jù),一個普遍的操作系統(tǒng)特性的功能是可執(zhí)行代碼塊被添加到數(shù)據(jù)文件�����。
羅普通過抓住合法的代碼稱為設備和運行它們迫使文件創(chuàng)建新的內存頁面,可以上傳惡意shell代碼獲得執(zhí)行特權����。
這個過程有CPU響應調用,返回地址不同于他們開始的地方。
噴砂器CPU-level檢測引擎,拿起這個活動異常和塊�����,灰鴿子使用教程�����。
引擎可以在一個設備在客戶的數(shù)據(jù)中心或云服務運行檢查的云����。英特爾的引擎依賴特性Haswell CPU架構,Shuchami說。
設備和服務已經(jīng)被用于檢查現(xiàn)有的沙箱提供稱為威脅模擬,它噴砂和為客戶免費升級��。
對于新客戶,服務成本每年3500美元和30000美元之間每檢查網(wǎng)關����。
電器從27000美元到200000美元不等�����。這些都是相同的價格檢查收費的威脅沒有噴砂模擬�����。
檢查也引入了一個稱為威脅提取的特性,使它安全快速打開文件才可以在沙箱中運行��。
它將Word文檔轉換PDF文件,中和他們可能包含惡意軟件,Shuchami說。它也可以將PDF文件轉換成PDF文件達到相同的目的�����。
這使它安全快速查看文件的內容而沙箱在后臺工作�����。如果用戶需要原始的,可用沙箱后發(fā)現(xiàn)它是良性的,他說。
或者,威脅提取可以刪除宏����、Javascript、鏈接和其他潛在的惡意功能,但這并不使文件安全轉化他們,他說����。 |
|
加載中...
發(fā)表于 2015-9-3 11:28:25
QQ好友和群
收藏
發(fā)表于 2015-9-3 11:28:31