沙箱是安全棧重要組成部分，但企業(yè)的整個策略不能依靠沙箱來檢測所有威脅。

[[263951]]

從事網(wǎng)絡(luò)安全工作就好像在罪惡之城當警察，每天對戰(zhàn)頂著WannaCry、Petya和 “紅色十月” 等花名的不知名惡棍，而且惡棍們的戰(zhàn)術(shù)、技術(shù)和裝備還在不斷更新。一輪掃黑除惡下來，以為天下太平了，沒幾天這些老對手又強勢歸來……

比如說，2014年發(fā)現(xiàn)的Emotet銀行木馬，最近就改頭換面重現(xiàn)江湖了。該新版本是帶.doc后綴的XML文檔，利用大多數(shù)沙箱要求真實文件類型的特性規(guī)避檢測。即便真實文件類型是XML，終端上還是在Word中打開。

一旦在Word中打開，XML文件中的宏就會觸發(fā)一段PowerShell腳本，第二階段的URL，下載Emotet載荷。Emotet會枚舉系統(tǒng)上安裝的應(yīng)用程序并檢查磁盤空間以確定自身是否處于沙箱環(huán)境。如果判斷自身身處沙箱環(huán)境，載荷就會停止執(zhí)行。而且，Emotet還有長期睡眠和延遲機制以阻礙動態(tài)分析技術(shù)，讓沙箱無法檢測惡意行為。很聰明的做法!

最近的其他威脅也采用了類似的技術(shù)規(guī)避沙箱檢測。Bebloh是2009年檢測到的通用銀行木馬，最近以針對日本用戶的變種重新冒頭。該版本通過帶宏的Excel郵件附件傳播，用戶點擊后會觸發(fā)后臺命令shell。有趣的是，該變種每次執(zhí)行時都會檢測系統(tǒng)的地區(qū)和國家設(shè)置。

只要地區(qū)設(shè)置不是日本，宏就會阻止Bebloh執(zhí)行并退出Excel應(yīng)用。而一旦命令shell被激活，Bebloh即開始執(zhí)行一個PowerShell腳本從URL獲取遠程內(nèi)容，該遠程內(nèi)容是長得像RAR文件的又一個PowerShell腳本文件，內(nèi)嵌base64編碼的加密DLL。解密該DLL的密鑰依據(jù)操作系統(tǒng)文化設(shè)置的國家代碼產(chǎn)生。解密出來的DLL被另一個進程用PowerShell注入內(nèi)存，其入口點被調(diào)用來啟動該惡意軟件。

最終結(jié)果就是，整個沙箱環(huán)境的地區(qū)設(shè)置必須設(shè)成JP(日本的國家代碼)，才可以檢測到該感染鏈。Bebloh還會檢查系統(tǒng)運行時間和物理系統(tǒng)特征，只要判斷是在沙箱環(huán)境就會停止執(zhí)行。

網(wǎng)絡(luò)釣魚也是沙箱無能為力的一個領(lǐng)域，因為檢測有賴于文件展現(xiàn)出惡意行為。黑客簡單地利用包含惡意鏈接的PDF文件就可以規(guī)避檢測。帶統(tǒng)一資源標識符(URI)的文檔被沙箱檢出的概率很低，生存時間(TTL)短暫的域幾乎不會給事后分析或威脅情報服務(wù)器留下什么證據(jù)。

Emotet、Bebloh和PDF網(wǎng)絡(luò)釣魚之所以令人擔(dān)憂，是因為這些威脅都使用了非常復(fù)雜，甚至可以說是精巧的技術(shù)，來規(guī)避沙箱環(huán)境的檢測。沙箱歷來被當成行之有效的Web威脅防護方法，可以在惡意內(nèi)容觸及用戶設(shè)備之前加以隔離。在過去，這種方法便已足夠。被檢測出來，然后被放到沙箱環(huán)境中，與網(wǎng)絡(luò)隔離開來并進行分析，以供未來緩解所用。直到現(xiàn)在，這種策略一直效果良好。

然而，沙箱技術(shù)依賴檢測。只要威脅能夠掩飾自己，關(guān)停自身，或者以某種方式規(guī)避檢測，就能自由感染用戶的設(shè)備，最終侵入到公司網(wǎng)絡(luò)和關(guān)鍵業(yè)務(wù)系統(tǒng)。在檢測-響應(yīng)式網(wǎng)絡(luò)安全策略中，只要威脅繞過大門，一切都完了。

網(wǎng)絡(luò)威脅戰(zhàn)術(shù)與技術(shù)的持續(xù)進化屢見不鮮。惡意軟件與其他基于Web的威脅一直在發(fā)展進化，對抗傳統(tǒng)網(wǎng)絡(luò)安全解決方案。道高一尺魔高一丈的感覺揮之不去。似乎安全行業(yè)的每一個進步，黑客都能馬上拿出相應(yīng)的對策，網(wǎng)絡(luò)安全戰(zhàn)線呈現(xiàn)持續(xù)拉鋸狀態(tài)。

除了完全基于檢測的網(wǎng)絡(luò)安全策略，我們還可以考慮網(wǎng)絡(luò)分隔和Web隔離。這兩個備選解決方案簡單地去除了用戶主機與公共互聯(lián)網(wǎng)之間的任何連接。網(wǎng)絡(luò)分隔方法往往需要用戶使用兩臺計算機，連接公司網(wǎng)絡(luò)的計算機就不能訪問公共互聯(lián)網(wǎng)。Web隔離方法允許Web瀏覽操作，但將獲取和執(zhí)行命令的操作從終端移到了現(xiàn)場或云端的遠程隔離服務(wù)器上。

沙箱依然是安全棧的重要組成部分，但企業(yè)的整個策略不能完全依賴沙箱檢出每一個威脅。非法進入是必然的，總有能避過檢測的威脅;安全策略是限制威脅，讓威脅觸及不到用戶，讓用戶甚至不知道自己經(jīng)歷了什么。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文