新闻链接:http://www.freebuf.com/articles/network/19503.html
新闻时间:2013-12-10
新闻正文:
最近很多中小型甚至是大型企业都遭受到了很多的APT攻击 并导致机密数据泄漏或服务器权限被黑客获取等。我们要把这种无耻的商业竞争掐死在萌芽中。
目前市场上APT攻击是新兴起的一种攻击方式,很多企业并没有对APT攻击做很好的防御,那么我们今天就来讨论一下如何利用沙盒去防御APT攻击。
那么我们就需要先来了解什么是沙盒什么是APT。
security_sandbox.png
沙盒是什么
沙盒最先是起源于浏览器领域,浏览器为了防止恶意页面感染系统而把页面和系统隔离开,这样就可以有效的防止恶意代码感染系统,就像把页面放在一个沙盒里一样,是碰不到外边的。
但是我们聊得沙盒并不是浏览器沙盒而是对于桌面端恶意软件的沙盒。
沙盒在病毒防御与危害测试的领域里也可以叫做安全桌面。
安全桌面就相当于创建了一个虚拟的并不实际存在的桌面,并把这个桌面封装了起来防止里面的病毒感染外部的东西,并且很多安全桌面不会主动拦截任何东西,并且将安全桌面与内网隔离,与本机也隔离,在恶意软件发生效果后再将沙盒回滚,这样病毒就不会危害到本机,并且在退出安全桌面之后在安全桌面上所做的一切病毒测试等痕迹都会被销毁,重新进入安全桌面就会和没运行病毒之前一样。
简而言之就是做了一个由沙子装满的盒子,这个盒子无论被怎样更改只要一抹就都会平整如初了!类似很多虚拟机的操作模式,但是比虚拟机要方便很多。
那么沙盒就是无敌的了吗?No.
在很久以前美国加州大学的圣塔芭芭拉分校计算机科学系的副教授Christopher Kruegel就提出了沙盒检测机制的不完善,但是仍然可以用于APT攻击的防御中,因为APT攻击并不是寻常的病毒感染。
APT攻击是怎样的
APT攻击一般就是利用黑客技术威胁企业的数据安全。
APT攻击几乎可以攻破所有的公司内网,因为地球上没有完全安全的东西,俄国人车尔尼雪夫斯基说过一句话,只有毅力才会使我们成功,而毅力的来源又在于毫不动摇,坚决采取为达到成功所需要的手段。这也就是APT攻击的特点之一,利用坚持不懈的精神去长期的挖掘企业的漏洞并进入内网获得想要的。
APT也应了中国的古话,不怕贼偷就怕贼惦记。
APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,简单的说,APT攻击就是利用一些系统的0day去攻击某个大型公司里面的某个员工计算机,然后利用内网渗透去拿到黑客想拿到的东西。一般为资料或者机密文件。
目前流行的APT攻击思路就是在某个员工的移动设备里发送邮件病毒,或者office的0day,去远程溢出并执行命令获得权限,或者搭配一些社工技术比如欺骗员工那个文件是薪资介绍的文件,使员工将病毒文件携带到公司里并打开,病毒一旦进入公司的计算机中就会获取计算机权限,紧接着黑客就会利用获得的员工计算机权限去渗透内网,获得更多想获得的东西。一般在行业竞争的过程中这种攻击会经常出现。
为什么用沙盒对付APT?
我们为什么要采取沙盒对付APT而不用大量的杀毒软件呢?
中国有句话叫做“道高一尺魔高一丈”。
APT攻击很多都是用一些漏洞甚至是社工技术去植入木马或病毒,这就是它的一个弊端,但是我们遭遇到的病毒有可能还没有被杀毒软件发现,所以有可能不会及时的拦截。
但沙盒就不一样了,沙盒的机制可以对付几乎所有木马和病毒。所以利用沙盒正好可以克制APT攻击。
如何利用沙盒防御APT?
我们知道安全桌面的优点就是在安全桌面上网时,无法访问到本机桌面重要文件和内网系统,实现了内外网的隔离,从而避免了感染木马病毒后,PC上机密文件被盗取、业务系统被入侵的风险。
那么我们就可以利用这种方式去防御APT攻击:
在员工电脑中配置一个沙盒环境,让员工在工作时使用沙盒模拟的虚拟环境去工作,并用沙盒模拟出来的安全桌面将员工的工作环境和物理桌面和内网相隔离。
这样员工再在公司看邮件或做工作的时候就不会害怕受到病毒感染,因为就算是真正的感染了也不会涉及到物理桌面的东西,物理桌面里的机密文件也不会被黑客窃取。
并且可以在沙盒中定义一个只有安全总管知道的文件夹,只有那个文件夹的东西会保存下来,这样员工一下班关闭掉了虚拟的安全桌面,在安全桌面上发生的所有事情都不会被保留,病毒就算有也会被抹掉,物理桌面的东西也就不会被黑客窃取,内网的重要文件也就不怕受到APT攻击了!
就等于放贼进家但是实际上家里什么也没有,这样贼即会暴露我们的东西也不会被偷。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课