Check Point正在升级其沙箱技术,以便在过程中更早捕获攻击,使对手更难躲避检测。
Check Point威胁防范销售主管内森•舒查米(Nathan Shuchami)表示,这款名为SandBlast的新软件可以监控CPU活动,寻找表明攻击者正在使用传统沙箱技术无法察觉的复杂方法的异常情况。
传统的沙箱,包括Check Point的沙箱,通过在虚拟环境中打开文件来判断文件是否合法。为了通过沙箱,攻击者设计了逃避技术,比如延迟执行,直到沙箱放弃,或者休眠,直到它试图感染的机器重新启动。
SandBlast阻止了一种被称为面向返回编程(ROP)的逃避技术,这种技术允许在数据文件上运行恶意的可执行代码,尽管数据执行预防(DEP)提供了保护,DEP是一种广泛使用的操作系统特性,其功能是阻止可执行代码被添加到数据文件中。
ROP通过获取被称为gadget的合法代码片段并运行它们来强制文件创建新的内存页,恶意shell代码可以在其中上传以获得执行特权。这个进程让CPU响应返回到不同于起始地址的调用。
SandBlast有一个cpu级别的检测引擎,它可以检测到这种异常并阻止活动。该引擎可以在客户数据中心的设备上使用,也可以作为Check Point的云服务使用。2020欧洲杯预赛Shuchami说,该引擎依赖于英特尔Haswell CPU架构的特点。
该设备和服务已经可以用于Check Point现有的沙箱产品,称为威胁仿真,对于拥有该产品的客户,SandBlast是免费升级。对于新客户,每个Check Point网关每年的服务成本在3,500美元到30,000美元之间。这些电器的价格从2.7万美元到20万美元不等。这些是Check Point在没有SandBlast的情况下对威胁仿真所收取的相同价格。
Check Point还引入了一个叫做“威胁提取”的功能,它可以在文档通过沙箱之前安全地快速打开文档。Shuchami说,它能将Word文档转换成PDF文件,从而中和其中可能包含的恶意软件。它可以将PDF文件转换为PDF文件,以及达到相同的目的。
这样,当沙箱在后台工作时,就可以安全地快速查看文档的内容。他说,如果用户需要原始版本,在沙盒发现它是良性的之后就可以使用。
他说,另外,“威胁提取”可以删除宏、Javascript、链接和其他潜在的恶意功能,但这并不像转换文件那样安全。