|
|
检查喷砂沙箱的法术也是P罗普攻击 远程控制软件,灰鸽子下载
检查软件升级计数器一个攻击者用来逃避传统沙箱技术
检查升级它的沙盒技术因此捕获早些时候袭击过程中,使敌人更难逃避检测。
称为喷砂,新软件监控CPU活动寻找异常,表明攻击者使用先进的方法,与传统的沙盒技术被忽视,据Nathan Shuchami,威胁预防销售主管。
传统沙箱,包括检查,确定文件是否合法,他们在虚拟环境中去看他们做什么。
让过去的沙箱攻击者设计了逃避技术,如延迟执行,直到沙箱放弃或沉睡,直到机器试图感染重新启动。
喷砂会把他们逃避技术面向返回编程(ROP),使运行恶意可执行代码的数据文件。
尽管保护执行预防(DEP)提供的数据,一个普遍的操作系统特性的功能是可执行代码块被添加到数据文件。
罗普通过抓住合法的代码称为设备和运行它们迫使文件创建新的内存页面,可以上传恶意shell代码获得执行特权。
这个过程有CPU响应调用,返回地址不同于他们开始的地方。
喷砂器CPU-level检测引擎,拿起这个活动异常和块,灰鸽子使用教程。
引擎可以在一个设备在客户的数据中心或云服务运行检查的云。英特尔的引擎依赖特性Haswell CPU架构,Shuchami说。
设备和服务已经被用于检查现有的沙箱提供称为威胁模拟,它喷砂和为客户免费升级。
对于新客户,服务成本每年3500美元和30000美元之间每检查网关。
电器从27000美元到200000美元不等。这些都是相同的价格检查收费的威胁没有喷砂模拟。
检查也引入了一个称为威胁提取的特性,使它安全快速打开文件才可以在沙箱中运行。
它将Word文档转换PDF文件,中和他们可能包含恶意软件,Shuchami说。它也可以将PDF文件转换成PDF文件达到相同的目的。
这使它安全快速查看文件的内容而沙箱在后台工作。如果用户需要原始的,可用沙箱后发现它是良性的,他说。
或者,威胁提取可以删除宏、Javascript、链接和其他潜在的恶意功能,但这并不使文件安全转化他们,他说。 |
|
加载中...
发表于 2015-9-3 11:28:25
发表于 2015-9-3 11:28:31