沙箱是安全棧重要組成部分，但企業(yè)的整個(gè)策略不能依靠沙箱來(lái)檢測(cè)所有威脅。

[[263951]]

從事網(wǎng)絡(luò)安全工作就好像在罪惡之城當(dāng)警察，每天對(duì)戰(zhàn)頂著WannaCry、Petya和 “紅色十月” 等花名的不知名惡棍，而且惡棍們的戰(zhàn)術(shù)、技術(shù)和裝備還在不斷更新。一輪掃黑除惡下來(lái)，以為天下太平了，沒(méi)幾天這些老對(duì)手又強(qiáng)勢(shì)歸來(lái)……

比如說(shuō)，2014年發(fā)現(xiàn)的Emotet銀行木馬，最近就改頭換面重現(xiàn)江湖了。該新版本是帶.doc后綴的XML文檔，利用大多數(shù)沙箱要求真實(shí)文件類型的特性規(guī)避檢測(cè)。即便真實(shí)文件類型是XML，終端上還是在Word中打開(kāi)。

一旦在Word中打開(kāi)，XML文件中的宏就會(huì)觸發(fā)一段PowerShell腳本，第二階段的URL，下載Emotet載荷。Emotet會(huì)枚舉系統(tǒng)上安裝的應(yīng)用程序并檢查磁盤空間以確定自身是否處于沙箱環(huán)境。如果判斷自身身處沙箱環(huán)境，載荷就會(huì)停止執(zhí)行。而且，Emotet還有長(zhǎng)期睡眠和延遲機(jī)制以阻礙動(dòng)態(tài)分析技術(shù)，讓沙箱無(wú)法檢測(cè)惡意行為。很聰明的做法!

最近的其他威脅也采用了類似的技術(shù)規(guī)避沙箱檢測(cè)。Bebloh是2009年檢測(cè)到的通用銀行木馬，最近以針對(duì)日本用戶的變種重新冒頭。該版本通過(guò)帶宏的Excel郵件附件傳播，用戶點(diǎn)擊后會(huì)觸發(fā)后臺(tái)命令shell。有趣的是，該變種每次執(zhí)行時(shí)都會(huì)檢測(cè)系統(tǒng)的地區(qū)和國(guó)家設(shè)置。

只要地區(qū)設(shè)置不是日本，宏就會(huì)阻止Bebloh執(zhí)行并退出Excel應(yīng)用。而一旦命令shell被激活，Bebloh即開(kāi)始執(zhí)行一個(gè)PowerShell腳本從URL獲取遠(yuǎn)程內(nèi)容，該遠(yuǎn)程內(nèi)容是長(zhǎng)得像RAR文件的又一個(gè)PowerShell腳本文件，內(nèi)嵌base64編碼的加密DLL。解密該DLL的密鑰依據(jù)操作系統(tǒng)文化設(shè)置的國(guó)家代碼產(chǎn)生。解密出來(lái)的DLL被另一個(gè)進(jìn)程用PowerShell注入內(nèi)存，其入口點(diǎn)被調(diào)用來(lái)啟動(dòng)該惡意軟件。

最終結(jié)果就是，整個(gè)沙箱環(huán)境的地區(qū)設(shè)置必須設(shè)成JP(日本的國(guó)家代碼)，才可以檢測(cè)到該感染鏈。Bebloh還會(huì)檢查系統(tǒng)運(yùn)行時(shí)間和物理系統(tǒng)特征，只要判斷是在沙箱環(huán)境就會(huì)停止執(zhí)行。

網(wǎng)絡(luò)釣魚(yú)也是沙箱無(wú)能為力的一個(gè)領(lǐng)域，因?yàn)闄z測(cè)有賴于文件展現(xiàn)出惡意行為。黑客簡(jiǎn)單地利用包含惡意鏈接的PDF文件就可以規(guī)避檢測(cè)。帶統(tǒng)一資源標(biāo)識(shí)符(URI)的文檔被沙箱檢出的概率很低，生存時(shí)間(TTL)短暫的域幾乎不會(huì)給事后分析或威脅情報(bào)服務(wù)器留下什么證據(jù)。

Emotet、Bebloh和PDF網(wǎng)絡(luò)釣魚(yú)之所以令人擔(dān)憂，是因?yàn)檫@些威脅都使用了非常復(fù)雜，甚至可以說(shuō)是精巧的技術(shù)，來(lái)規(guī)避沙箱環(huán)境的檢測(cè)。沙箱歷來(lái)被當(dāng)成行之有效的Web威脅防護(hù)方法，可以在惡意內(nèi)容觸及用戶設(shè)備之前加以隔離。在過(guò)去，這種方法便已足夠。被檢測(cè)出來(lái)，然后被放到沙箱環(huán)境中，與網(wǎng)絡(luò)隔離開(kāi)來(lái)并進(jìn)行分析，以供未來(lái)緩解所用。直到現(xiàn)在，這種策略一直效果良好。

然而，沙箱技術(shù)依賴檢測(cè)。只要威脅能夠掩飾自己，關(guān)停自身，或者以某種方式規(guī)避檢測(cè)，就能自由感染用戶的設(shè)備，最終侵入到公司網(wǎng)絡(luò)和關(guān)鍵業(yè)務(wù)系統(tǒng)。在檢測(cè)-響應(yīng)式網(wǎng)絡(luò)安全策略中，只要威脅繞過(guò)大門，一切都完了。

網(wǎng)絡(luò)威脅戰(zhàn)術(shù)與技術(shù)的持續(xù)進(jìn)化屢見(jiàn)不鮮。惡意軟件與其他基于Web的威脅一直在發(fā)展進(jìn)化，對(duì)抗傳統(tǒng)網(wǎng)絡(luò)安全解決方案。道高一尺魔高一丈的感覺(jué)揮之不去。似乎安全行業(yè)的每一個(gè)進(jìn)步，黑客都能馬上拿出相應(yīng)的對(duì)策，網(wǎng)絡(luò)安全戰(zhàn)線呈現(xiàn)持續(xù)拉鋸狀態(tài)。

除了完全基于檢測(cè)的網(wǎng)絡(luò)安全策略，我們還可以考慮網(wǎng)絡(luò)分隔和Web隔離。這兩個(gè)備選解決方案簡(jiǎn)單地去除了用戶主機(jī)與公共互聯(lián)網(wǎng)之間的任何連接。網(wǎng)絡(luò)分隔方法往往需要用戶使用兩臺(tái)計(jì)算機(jī)，連接公司網(wǎng)絡(luò)的計(jì)算機(jī)就不能訪問(wèn)公共互聯(lián)網(wǎng)。Web隔離方法允許Web瀏覽操作，但將獲取和執(zhí)行命令的操作從終端移到了現(xiàn)場(chǎng)或云端的遠(yuǎn)程隔離服務(wù)器上。

沙箱依然是安全棧的重要組成部分，但企業(yè)的整個(gè)策略不能完全依賴沙箱檢出每一個(gè)威脅。非法進(jìn)入是必然的，總有能避過(guò)檢測(cè)的威脅;安全策略是限制威脅，讓威脅觸及不到用戶，讓用戶甚至不知道自己經(jīng)歷了什么。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文