“ 當(dāng)網(wǎng)絡(luò)罪犯了解了更多普通的安全檢測方法時， 他們往往會將更多的投入放在安全規(guī)避方法的研發(fā)上。” ---FortiGuard安全研究實驗室

惡意威脅可以使用多種方式來避開安全屏障。以下是黑客面對沙盒最常使用的規(guī)避技術(shù)。

邏輯炸彈

最常見的邏輯炸彈是定時炸彈，它們曾出現(xiàn)在許多引人注目的攻擊中。在一個定時炸彈中，惡意代碼部分會一直隱藏到指定的時間。攻擊者可以將惡意軟件植入到多個系統(tǒng)中，在所有炸彈被定時引爆前都不會被注意到。其他的邏輯炸彈則會在出現(xiàn)有人機(jī)互動（點(diǎn)擊鼠標(biāo)、系統(tǒng)重啟等等）時被觸發(fā)，由于在一般沙盒的環(huán)境內(nèi)難以滿足邏輯條件，所以代碼并未在檢測期間遵循惡意執(zhí)行路徑。為此，F(xiàn)ortinet精心設(shè)計了相關(guān)防御環(huán)境，使用 CPRL 和代碼仿真分析，在實際運(yùn)行代碼之前發(fā)現(xiàn)邏輯炸彈。CPRL 進(jìn)行實際操作指令的實時分析，因此能夠發(fā)現(xiàn)那些將會觸發(fā)炸彈的邏輯條件。

惡意代碼：Rootkit與 Bootkit

高級惡意軟件常常包含一個核心代碼，可以控制和破壞操作系統(tǒng)的 Rootkit。沙盒可能會受到這種規(guī)避技術(shù)的攻擊，因為行為監(jiān)控的功能也可能會遭到控制。此外， Bootkit在系統(tǒng)啟動時會以沙盒難以檢測到的惡意軟件來感染系統(tǒng)。Fortinet的 CPRL 檢測技術(shù)，同樣可以在高級 Rootkit和 Bootkit程序運(yùn)行之前發(fā)現(xiàn)它們并解決該問題。

沙盒環(huán)境檢測

另一個高級規(guī)避技術(shù)是環(huán)境覺察。 APT 代碼可能包含有一些程序，以嘗試判斷其自身是否運(yùn)行于一個虛擬環(huán)境中從而表明它是否可能處于沙盒內(nèi)， APT 代碼有可能檢查特定供應(yīng)商的沙盒環(huán)境特征值。如果該代碼檢測到其處于一個沙盒中，它就不會運(yùn)行其惡意執(zhí)行路徑。CPRL 能夠深入檢查、檢測并捕獲那些探測沙盒的代碼。

僵尸網(wǎng)絡(luò)命令與控制窗口

僵尸網(wǎng)絡(luò)命令與控制活動通常始于一個釋放器。釋放器是十分干凈的代碼，而非一個連接到某個 URL/IP 地址以便根據(jù)命令下載文件的程序。命令可以來自于初始運(yùn)行時間之后幾個小時 、幾天或幾周而出現(xiàn)的一個攻擊者。如果散播程序所連接的服務(wù)器在沙盒運(yùn)行代碼的檢測期間內(nèi)暫停活動，則無法觀察到惡意活動。CPRL 可在病毒沒有運(yùn)作的期間，主動捕獲異常代碼并檢測惡意軟件， FortiGuard 的全球情報網(wǎng)絡(luò)可監(jiān)測僵尸網(wǎng)絡(luò)，在僵尸網(wǎng)絡(luò)活動時對其當(dāng)場進(jìn)行揭露。

網(wǎng)絡(luò)快速通量

高級惡意軟件可能采用快速通量或域生成算法技術(shù)來改變某個病毒所要連接的一個 URL/IP 地址。在沙盒觀測期間，該病毒先指向某個地址，但是隨著時間的推移，在終端用戶的主機(jī)內(nèi)，該代碼將通過一個不同的路徑指向某個第二地址來發(fā)送惡意信息流。FortiGuard跟蹤快速通量網(wǎng)絡(luò)并在預(yù)掃描期間將收集到的威脅情報反饋給沙盒使用。Fortinet監(jiān)測的是域名服務(wù)器，而不是像其他供應(yīng)商通常所做的那樣僅僅盯住 IP 黑名單。

加密文檔

一個古老的把戲，攻擊者可以在文檔中加密惡意軟件。然后，通過社交心理欺騙終端用戶通過輸入密碼來打開該病毒。沙盒無法自動輸入密碼，所以惡意軟件在觀察期間不會運(yùn)行。Fortinet的專利壓縮文件頭檢查技術(shù)可以檢測已經(jīng)通過加密偽裝了的惡意軟件特征值。

二進(jìn)制封包

二進(jìn)制封包通過將其篡改部分進(jìn)行加密來掩蓋惡意軟件，因而不容易被傳統(tǒng)的殺毒安全軟件分析。該代碼在其被執(zhí)行的時候打開，繼而感染宿主。類似的技術(shù)也被用于 在 JavaScript 和等語言中嵌入惡意代碼。歷史來看，這種技術(shù)曾在內(nèi)存昂貴的年代用來壓縮可執(zhí)行代碼。今天的內(nèi)存不是一個問題了，但二進(jìn)制封包則經(jīng)常被用來規(guī)避殺毒檢查。對于JavaScript 和ActionScript的情況，這個方法可以被合理地用于副本保護(hù)。Fortinet的旗艦安全平臺FortiGate殺毒引擎支持腳本去模糊處理以及檢測許多二進(jìn)制包，并將惡意軟件解壓成為原生形態(tài)以便進(jìn)行基于 CPRL 的分析，允許在沙盒中進(jìn)行實時檢測與緩解或進(jìn)一步加以執(zhí)行。

多態(tài)惡意軟件

多態(tài)惡意軟件在每次運(yùn)行時都會發(fā)生變化，添加少量的垃圾代碼以期對付模式檢查和基于“校驗和”的檢查。當(dāng)一個操作系統(tǒng)將其打開時，惡意代碼便會執(zhí)行。多態(tài)代碼對傳統(tǒng)的反應(yīng)性檢測構(gòu)成了挑戰(zhàn)，而 Fortinet則可以通過其主動防病毒檢測引擎技術(shù)、CPRL 和沙盒的結(jié)合來加以解決。該引擎可以將惡意軟件解壓為一個原生形態(tài)，以便在運(yùn)行駐留在沙盒中的代碼進(jìn)行更深入的檢查之前，使用最低的處理資源過濾盡可能多的信息流。

Fortinet的FortiSandbox提供強(qiáng)大的主動檢測和防御功能，以及可操作的威脅洞察，和簡單整合部署等等。而這一切的基礎(chǔ)則是Fortinet屢獲如榮的反惡意軟件和FortiGuard威脅響應(yīng)中心提供的獨(dú)特的，雙層沙箱。經(jīng)驗豐富的Fortinet威脅研究專家現(xiàn)在則被“打包”到了FortiSandbox中為用戶提供更體貼的服務(wù)。

對抗如今的攻擊，企業(yè)更需要智能型的整合方案，不只是反惡意軟件，也不只是沙盒，更不只是分散的監(jiān)控系統(tǒng),防御目標(biāo)性高隱蔽性強(qiáng)的攻擊所造成的數(shù)據(jù)竊取和網(wǎng)絡(luò)中斷。唯有這樣的架構(gòu)能讓企業(yè)有效地保護(hù)自己，免于如今不斷演化的威脅。