|
|
檢查噴砂沙箱的法術(shù)也是P羅普攻擊 遠(yuǎn)程控制軟件,灰鴿子下載
檢查軟件升級(jí)計(jì)數(shù)器一個(gè)攻擊者用來逃避傳統(tǒng)沙箱技術(shù)
2.jpg (43.15 KB, 下載次數(shù): 1812)
下載附件
2015-9-3 11:28 上傳
檢查升級(jí)它的沙盒技術(shù)因此捕獲早些時(shí)候襲擊過程中,使敵人更難逃避檢測(cè)。
稱為噴砂,新軟件監(jiān)控CPU活動(dòng)尋找異常,表明攻擊者使用先進(jìn)的方法,與傳統(tǒng)的沙盒技術(shù)被忽視,據(jù)Nathan Shuchami,威脅預(yù)防銷售主管��。
傳統(tǒng)沙箱,包括檢查,確定文件是否合法,他們?cè)谔摂M環(huán)境中去看他們做什么���。
讓過去的沙箱攻擊者設(shè)計(jì)了逃避技術(shù),如延遲執(zhí)行,直到沙箱放棄或沉睡,直到機(jī)器試圖感染重新啟動(dòng)�。
噴砂會(huì)把他們逃避技術(shù)面向返回編程(ROP),使運(yùn)行惡意可執(zhí)行代碼的數(shù)據(jù)文件���。
盡管保護(hù)執(zhí)行預(yù)防(DEP)提供的數(shù)據(jù),一個(gè)普遍的操作系統(tǒng)特性的功能是可執(zhí)行代碼塊被添加到數(shù)據(jù)文件�。
羅普通過抓住合法的代碼稱為設(shè)備和運(yùn)行它們迫使文件創(chuàng)建新的內(nèi)存頁面,可以上傳惡意shell代碼獲得執(zhí)行特權(quán)����。
這個(gè)過程有CPU響應(yīng)調(diào)用,返回地址不同于他們開始的地方。
噴砂器CPU-level檢測(cè)引擎,拿起這個(gè)活動(dòng)異常和塊�,灰鴿子使用教程。
引擎可以在一個(gè)設(shè)備在客戶的數(shù)據(jù)中心或云服務(wù)運(yùn)行檢查的云����。英特爾的引擎依賴特性Haswell CPU架構(gòu),Shuchami說。
設(shè)備和服務(wù)已經(jīng)被用于檢查現(xiàn)有的沙箱提供稱為威脅模擬,它噴砂和為客戶免費(fèi)升級(jí)�����。
對(duì)于新客戶,服務(wù)成本每年3500美元和30000美元之間每檢查網(wǎng)關(guān)�。
電器從27000美元到200000美元不等���。這些都是相同的價(jià)格檢查收費(fèi)的威脅沒有噴砂模擬。
檢查也引入了一個(gè)稱為威脅提取的特性,使它安全快速打開文件才可以在沙箱中運(yùn)行�。
它將Word文檔轉(zhuǎn)換PDF文件,中和他們可能包含惡意軟件,Shuchami說。它也可以將PDF文件轉(zhuǎn)換成PDF文件達(dá)到相同的目的�����。
這使它安全快速查看文件的內(nèi)容而沙箱在后臺(tái)工作��。如果用戶需要原始的,可用沙箱后發(fā)現(xiàn)它是良性的,他說���。
或者,威脅提取可以刪除宏、Javascript�����、鏈接和其他潛在的惡意功能,但這并不使文件安全轉(zhuǎn)化他們,他說����。 |
|
加載中...
發(fā)表于 2015-9-3 11:28:25
QQ好友和群
收藏
發(fā)表于 2015-9-3 11:28:31