沙箱虚拟机
来源:艾特保IT 虹科分享丨一种动态防御策略——移动目标防御(MTD)
原文链接:https://mp.weixin.qq.com/s/UrXAolKxy0735RVDEMN5ZA
欢迎关注虹科,为您提供最新资讯!
网络攻击的技术变得愈发难测,网络攻击者用多态性、混淆、加密和自我修改乔装他们的恶意软件,以此逃避防御性的检测,于是移动目标防御(MTD)技术出现了,通过动态地改变攻击面,有效地对抗日益复杂和隐蔽的网络攻击。
文章速览:
1、高级规避攻击
2、用移动目标防御对抗欺骗
-常见做法
-操作系统和应用程序才是真正的战场
-打破游戏规则
一、高级规避攻击
高级规避攻击技术可以反复修改网络攻击,包括其源、静态签名和行为签名。这些欺骗手段使传统的防御机制力不从心,攻击者明确地知道他们要攻击谁,何时何地,使用什么武器,而防御者却始终处于不确定状态。我们来看一些常见的高级规避攻击技术。
1、多态性通常被攻击者用来躲避反病毒软件的检测
通过加密恶意软件的有效载荷(包括代码和数据),攻击者可以获得两大优势:首先,攻击者可以通过使用多个加密密钥轻松生成同一恶意软件的不同实例,从而基于签名的反恶意软件设施失去作用。其次,恶意软件可以绕过更深入的静态分析,因为其代码和数据是加密的,因此不会暴露在扫描仪面前。因此防御恶意软件检测变得更加复杂。
2、多态性和变态性的目的是躲避自动扫描和内存扫描
利用混淆技术,恶意软件的编写者可以编写出人类分析人员难以理解的代码。具体做法是在有效载荷中加入模糊字符串、虚假代码和复杂的函数调用图,这些代码可以在恶意软件的每个实例中随机生成。
3、反虚拟机和反沙箱机制是另一种先进的攻击方法
沙箱和虚拟机是恶意软件分析人员必不可少的工具。这些方法可以检测恶意软件是否在虚拟化或沙盒环境中运行。如果检测到虚拟机或沙箱,恶意软件就会改变其行为,避免任何恶意行为。一旦在真实系统上执行,在被标记为良性后,恶意软件就会开始其恶意活动。
4、反调试技术被用来来避免调试和运行时分析
如果在运行过程中,恶意软件检测到调试工具正在运行,它就会改变执行路径,执行良性操作。一旦恶意软件不受运行时检查,它就会开始其恶意行为。
5、加密和有针对性的漏洞利用
为了避免被发现,URL模式、主机服务器、加密密钥和漏洞名称在每次发送时都会改变。这些漏洞利用程序还可以通过限制从同一IP地址访问漏洞利用程序的次数来躲避蜜罐。最后,某些类型的攻击只有在真正的用户交互(如网页滚动)之后才开始利用阶段。这样,攻击者就能确保在真实机器上执行,而不是进行自动动态分析。
二、用移动目标防御对抗欺骗
然而,攻击者使用的欺骗技术也可以被防御者利用来反向平衡。移动目标防御(MTD)就是这样一种防御技术。
(一)常见做法
在实践中,移动目标防御安全主要分为三类:
-网络级MTD
-主机级MTD
-应用程序级MTD
1、网络级MTD包括多年来开发的几种机制。IP跳转会改变主机的IP地址,从而增加攻击者看到的网络复杂性。后来,这一想法被扩展为允许以透明方式保持主机IP变更。通过保留真实主机的IP地址,并将每台主机与一个虚拟随机IP地址关联起来,从而实现了透明性。有些技术的目的是在网络映射和侦察阶段欺骗攻击者。这些技术包括使用随机端口号、额外开放或关闭的端口、伪造监听主机和混淆端口跟踪。
2、主机级MTD包括更改主机和操作系统级资源、命名和配置,以欺骗攻击者。
3、应用程序级MTD包括更改应用程序环境以欺骗攻击者。
(二)操作系统和应用程序
——真正的战场
移动目标防御模式打破了攻防双方之间的不对称。现在,攻击者也必须在不确定和不可预测的情况下行动。
相比网络级MTD,系统和应用程序层面的MTD更有效。为了成功发起攻击,攻击者必须收集切实的情报,并对目标操作系统和应用程序做出假设。这些信息需要包括相关版本、配置、内存结构、资源名称等因素。如果攻击者将攻击步骤建立在错误元素(即使是一个内存地址)的基础上,攻击就会失败。
(三)打破游戏规则
Morphisec以攻击者无法追踪的方式对应用程序和操作系统进行环境修改,从而将移动目标防御提升到一个新的水平。因此,对攻击者而言,每次函数调用、地址跳转或资源访问都有可能失败,同时攻击、其发起者和来源也会完全暴露。在这种情况下,攻击的成本会急剧上升,而成功的概率则会下降到接近于零。这些因素加在一起,使得攻击在实际和经济上都不那么可行。
移动目标防御与基于检测的保护模式截然不同。后者必须首先检测或预测恶意活动,才能阻止其发生。人工智能和机器学习确实能更好、更快地进行检测,但也受到限制,因为要检测到威胁,需要对威胁有一定程度的了解,且高级闪避攻击仍具有不可预测性。而移动目标防御迫使攻击者在不确定的战场上作战,从而彻底改变了冲突规则。
","gnid":"94892669d05fbad46","img_data":[{"flag":2,"img":[{"desc":"","height":"960","title":"","url":"https://p0.ssl.img.360kuai.com/t011190aae438eb7690.jpg","width":"952"},{"desc":"","height":"724","title":"","url":"https://p0.ssl.img.360kuai.com/t0110df0164eb7232d8.jpg","width":"1080"},{"desc":"","height":"1069","title":"","url":"https://p0.ssl.img.360kuai.com/t01b885624e66bc6208.jpg","width":"1080"}]}],"original":0,"pat":"art_src_3,fts0,sts0","powerby":"pika","pub_time":1704855600000,"pure":"","rawurl":"http://zm.news.so.com/123af41801c21ce7c863f64c76bb37c1","redirect":0,"rptid":"4b8611e0ee153b1d","rss_ext":[],"s":"t","src":"虹科技术","tag":[{"clk":"ktechnology_1:操作系统","k":"操作系统","u":""}],"title":"虹科分享丨一种动态防御策略——移动目标防御(MTD)
任谈映3470哪个沙箱好用?要免费安全的. -
扈杰虞18780999422 ______ 沙箱 推荐sandboxie这个软件,个人是免费的,不过功能上有些限制
任谈映3470360隔离沙箱会中毒吗中毒会影响正常系统吗 -
扈杰虞18780999422 ______ 沙箱是一个虚拟系统程序,允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除.通常情况下,沙箱内执行的文件,不会对系统内容产生影响,因此不会中毒.即使病毒被在沙箱内释放,在应用执行过后,由于360会自动清除沙箱的内容,因此不会导致系统中毒.
任谈映3470360隔离沙箱会中毒吗? -
扈杰虞18780999422 ______ 沙箱不等同于虚拟机,沙箱是制作了一个临时的系统环境,运行结束后清空,虚拟机则不会清空.沙箱的作用是建立临时系统镜像,使在沙箱中的程序与真是系统隔离从而达到不修改系统的目的.通常情况下沙箱可以有效的保护系统,但是一旦沙箱被突破,病毒就可以长驱直入.个人建议,不要下载来路不明的文件,使用更专业的杀毒和防护软件. 如果需要对不了解安全性的程序进行操作,推荐使用影子防御系统.同样是个沙箱作用,但更加强大,原理不同于沙箱在于开机时将系统被分进内存,锁定系统磁盘的修改,所有操作均在内存进行,关机完全清空.
任谈映3470电脑手机软件多开(电脑手机软件多开怎么设置)
扈杰虞18780999422 ______ 电脑手机软件多开怎么设置1、首先,必须在线下载并安装沙盒.安装完成并打开后.2、首先,右键单击单台计算机下方的第一个沙箱,然后选择“在沙箱中运行”→“运...
任谈映3470沙盘 和 虚拟机 是一样的吗?
扈杰虞18780999422 ______ 不同的,两者的原理完全不同,沙盘是一个安全软件,有点类似于影子系统,可以在系统中中隔离出一个可以运行软件的孤立环境,可以避免软件对系统、数据产生的更改.除了保护系统,用作测试软件也是不错的选择. 虚拟机准确来说是一个系统软件,可以从底层模拟出一台或多台“真实”的主机,之所以说“真实”,是因为这些主机有硬件(虚拟设备),可以安装系统,在虚拟系统里安装软件、上网都没问题,使用起来跟真实系统无异(当然性能肯定不及真实系统),这些“真实”的主机都是隔离的系统环境,里面的所有操作都不会对本机造成影响.除了做软件测试,还可以做很多测试和实验. 简单来说,相对于虚拟机,沙盘只能完成简单的保护功能,而虚拟机却可以完全模拟出一个真实的系统环境.
任谈映3470在金山安全沙箱运行一些危险程序也不会中毒吗?
扈杰虞18780999422 ______ 不一定!凡是都没有绝对,沙盘只是一个模拟程序的运行环境而已,记录下程序在这个相对环境中的操作,并输出给视图,结束调试后,沙盘会清空预先的环境;看上去视乎天衣无缝,可不然,当一旦程序在沙盘中溢出,那就危险了,不仅沙盘...
任谈映3470如何做好 App 的安全测试工作? -
扈杰虞18780999422 ______ 对于APP安全测试,我感觉是工欲善其事,必先利其器了..跟据爱内测介绍,主要有以下三个方式:一、静态分析静态分析主要是利用apktool、dex2jar、jd-gui、smali2dex等静态分析工具对应用进行反编译,并对反编译后的java文件、xml文...
任谈映3470有没有方法在 Android 手机中实现沙箱 -
扈杰虞18780999422 ______ 在Android系统中,应用(通常)都在一个独立的沙箱中运行,即每一个Android应用程e79fa5e98193e58685e5aeb931333365636562序都在它自己的进程中运行,都拥有一个独立的Dalvik虚拟机实例.Dalvik经过优化,允许在有限的内存中同...
任谈映3470沙箱里运行软件能不能防木马 -
扈杰虞18780999422 ______ 我告诉你.沙箱调用显卡是不能的.【自己去判断,因为这些迟早会改进的】 在沙箱里运行一个带木马的软件,真机可能有残余木马.【所有沙盘怕压缩包炸弹等】 所以注意:1用后杀毒 和 用前修复系统【如修复漏洞等】 2检查驱动文件【因为金山沙盘是用本机的驱动,文件易感染了,所以注意备份文件】 3注意自己的注册表【防止IE首页窜改等】 4定期清理沙箱里的文件【因为360沙箱文件运行后,会自动保存他们.金山占不存在.】 5不要过分相信沙盘防毒.【沙盘里玩毒=在自己家中玩火】
任谈映3470沙盘Sandboxie与VMware ThinApp有何不同?
扈杰虞18780999422 ______ VMware ThinApp 是一款虚拟机,Thinstall被VMware收购后,VMware公司宣布发布VMware ThinApp 4应用虚拟化软件,它允许用户在不冲突的情形下运行任何Windows操作系统上的几乎任何的多样应用版本.Sandboxie(又叫沙箱、沙盘)允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除.可用来消除上网、运行程序的痕迹,也可用来还原收藏夹、主页、注册表等.即使在沙盘进程中下载的文件,也会随着沙盘的清空而删除.此软件在系统托盘中运行,如果想启动一个沙盘进程,请通过托盘图标(而不要用原方式)启动浏览器或相应程序.