怎么建立一具有效DDoS防御的恶意软件分析沙箱-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 行业资讯 > 怎么建立一具有效DDoS防御的恶意软件分析沙箱

怎么建立一具有效DDoS防御的恶意软件分析沙箱

小墨安全管家 2020-11-22 16:34 行业资讯 89 ℃
DDoS防御

怎么建立一具有效的恶意软件分析沙箱

怎么建立一具有效的恶意软件分析沙箱Christopher Kruegel博士公布2014年3月27日ShareLinkedIn TweetReddit自动恶意软件分析系统(或沙盒)是安全厂商军火库中最新的武器之一。此类系统在检测环境中执行未知恶意软件程序并监视其执行事情。尽管恶意软件分析沙盒系统已被用作手动分析过程的一部分,但它们越来越多地被用作自动检测过程的核心。这种想法的优点特别明显:能够识别往常看不到的(零天)恶意软件,因为沙箱中观看到的活动被用作检测的基础。有关此主题的高级概述,请阅读下一代沙盒提供高级恶意软件的全面检测。动态分析系统(沙盒)的目标一具好的恶意软件分析沙盒必须实现三个目标:可见性、抗检测性和可伸缩性。首先,沙箱必须尽也很多地查看程序的执行事情。否则,它大概会错过相关活动,无法对恶意行为的存在与否做出可靠的判断。第二,沙盒必须以一种难以检测的方式执行监视。否则,恶意软件特别容易识别沙盒的存在,并相应地改变其行为以躲避检测。第三个目标是经过沙箱运行多个样本的愿望,如此一具样本的执行不大概干扰后续恶意软件程序的执行。而且,可伸缩性意味着必须可以以自动化的方式分析很多样本。沙盒应该收集啥信息?在这篇文章中,我们讨论了沙盒能够监视在用户模式下运行的恶意软件(作为一般用户或治理员)的执行事情的不同想法。这就排除了篡改内核的恶意代码,比如rootkits。我们把这些留给将来的工作。此外,绝大多数恶意软件基本上以常规用户模式进程运行的,甚至rootkit通常都会利用用户模式组件来安装内核驱动程序或修改操作系统代码。当监视用户模式进程的行为时,几乎所有恶意软件分析沙盒都会查看系统调用接口或Windows API。系统调用是操作系统向用户模式进程公开的函数,以便它们能够与环境交互并完成任务,例如从文件读取、经过网络发送数据包以及在Windows上读取注册表项。监视系统调用(和windowsapi函数调用)是故意义的,但这不过难题的一部分。咨询题是,CC防御,只监视此类调用的沙盒对这些调用之间发生的一切基本上视而不见的。也算是讲,沙盒大概会看到恶意软件程序从文件中读取,但它无法确定恶意软件实际怎么处理它刚不久读取的数据。经过深入研究程序的执行,能够收集到很多有味的信息。所以,有点沙盒比仅仅钩住函数调用(如系统调用或windowsapi函数)更进一步,还监视程序在这些调用之间执行的指令。模拟与虚拟化如今我们懂了我们想要收集啥信息,下一具咨询题是我们怎么构建一具沙盒,以一种让恶意软件难以检测的方式收集这些数据。两个要紧选项是虚拟化和仿真。仿真器是一种软件程序,它模拟另一具程序或硬件的功能。由于仿真器在软件中实现功能,DDoS防御,于是它提供了极大的灵便性。例如,思量一具模拟系统硬件(例如CPU和物理内存)的模拟器。当您在那个模拟硬件上运行宾客程序P时,系统能够收集有关P执行的很详细的信息。宾客程序甚至大概是为与模拟器运行的实际CPU不同的CPU体系结构编写的。例如,这种机制允许在x86主机上运行的模拟器上运行为ARM编写的Android程序。仿的确缺点是软件层会导致性能下落。为了使分析系统具有可伸缩性,必须认真处理潜在的性能阻碍。经过虚拟化,宾客程序P实际上运行在底层硬件上。虚拟化软件(hypervisor)只操纵和中介不同程序(或不同虚拟机)对底层硬件的访咨询。在这种方式下,不同的虚拟机是相互独立和孤立的。可是,当一具程序在虚拟机中执行时,它占用了实际的物理资源,所以hypervisor(和恶意软件分析系统)不能并且运行。这使得详细的数据收集具有挑战性。此外,DDoS防御,特别难彻底躲藏hypervisor不被恶意软件程序窥探,其优点是虚拟机中的程序能够差不多上以本机速度运行。利用仿真和虚拟化举行恶意软件分析如前所述,仿真器的任务是提供一具能够执行恶意软件程序的模拟(运行时)环境。此环境有两个要紧选项。首先,能够模拟操作系统(这称为操作系统仿真)。直觉上,这是有道理的。程序以用户模式运行,需要举行系统调用以与环境交互。这么,为啥不简单地模拟这些系统调用呢?当恶意软件在运行时,你能够认真观看它的活动(你能够看到每一条指令)。当恶意软件试图举行系统调用时,能够特别容易地记录这些信息。此刻,仿真器只需假装系统调用已成功执行,并将正确的结果返回给程序。这在理论上听起来特别简单,但在实践中却不这么容易。一具咨询题是Windows中的(本机)系统调用接口没有文档化,微软保留随意更改的权利。所以,仿真器通常以windowsapi为目标,后者是本机系统调用之上的一组更高级别的库函数。不幸的是,有上万个如此的windowsapi函数。此外,Windows操作系统是一具庞大的软件,要想忠实地模拟它,需要一具与Windows本身相当复杂的仿真器!因为忠实的仿真是不实际的,仿真器通常集中在对大多数程序"相当好"的功能的一具子集上。固然,恶意软件作者懂这一点。它们能够简单地调用不常用的函数,并检查系统是否按预期运行(即,像真正的Windows操作系统一样)。操作系统仿真器总是不能按照预期的方式运行,而且如此的沙箱特别容易被恶意软件发觉和规避。利用操作系统仿的确安全供应商实际上特别清晰这种局限性。它们通常只将操作系统仿真作为其解决方案的一部分,并辅以其他检测技术。作为仿真器的第二个选项,能够模拟硬件(非常是CPU和物理内存)。这称为(整个)系统仿真。系统仿真有几个优点。首先,能够在模拟器上安装并运行实际的操作系统。所以,恶意软件在真实操作系统中执行,CC防御,使得分析环境更难检测到恶意软件。第二个优点是处理器提供的接口比Windows提供的接口简单得多。是的,有成百上千条指令,但它们都有特别好的文档记录,而且它们差不多上从未改变过。怎么讲,英特尔、AMD和ARM都希翼操作系统(或应用程序)开辟人员懂,当她瞄准他们的平台时,他们到底会期待啥。最终,也是最重要的一点,系统仿真器具有特别好的可视性。基于系统仿的确沙盒能够看到恶意软件程序在模拟处理器上执行的每一条指令,同时能够监视对模拟内存的每一次访咨询。虚拟化平台提供的收集详细信息的选项要少得多。最简单的想法是记录程序执行的系统调用。这能够经过两种不同的方式来实现。首先,能够对宾客操作系统举行测试。这有一具明显的缺点,即恶意软件程序大概可以检测到修改后的操作系统环境。或者,能够在hypervisor中执行系统调用监视。系统调用是特权操作。所以,当宾客虚拟机中的程序执行此类操作时,系统治理程序会收到通知。此刻,操纵权传回沙盒,沙盒能够收集所需的数据。最大的挑战是,特别难在不被检测的事情下有效地记录宾客进程执行的单个指令。怎么讲,沙盒在系统调用之间放弃了对那个进程的操纵。这是任何使用虚拟化技术的沙盒的差不多限制。我们的沙箱是如何建的?我们以为可见性越高越好,尤其是面对越来越了解虚拟机和沙盒分析的恶意软件。多年来,我们基本看到试图检测VMware存在的恶意软件。即使基于虚拟化技术构建了一具自定义沙盒,差不多的可见性限制仍然存在。固然,当恶意软件程序检查诸如VMware之类的闻名治理程序引入的特定文件或进程时,这些检查将失败,自定义沙盒将成功地发觉恶意活动。然而,依照定义,虚拟化意味着恶意代码直截了当在底层硬件上运行。当恶意代码正在运行时,沙箱将暂停。它


DDoS防御

当前位置:主页 > 行业资讯 > 怎么建立一具有效DDoS防御的恶意软件分析沙箱

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119