中國廠商攻克行業(yè)難題:殺毒掃描首創(chuàng)沙箱保護模式
發(fā)布時間:2018-01-30系統(tǒng)有漏洞,殺毒軟件可以防,;如果殺毒軟件有漏洞,,誰來防呢?對此,,谷歌安全團隊多次呼吁殺毒廠商為引擎加入沙箱保護。但是由于沙箱和殺毒軟件自身功能、架構的沖突,,這已成為網絡安全行業(yè)共同面臨的世界級難題。
2018年1月,,中國安全廠商360發(fā)布重磅消息,,全球首家成功實現(xiàn)了殺毒掃描的沙箱保護——360殺毒和安全衛(wèi)士的最新版本,為QEX安全引擎加入沙箱隔離防護機制,。當用戶下載文件進行安全檢測時,,QEX引擎對文件的掃描過程會在沙箱中執(zhí)行,可以避免黑客利用殺毒軟件漏洞實施攻擊,。這是360在首創(chuàng)云查殺,、云安全主動防御、人工智能引擎等技術變革之后,,再次領先業(yè)界的嘗試,,也是360對安全創(chuàng)新的前瞻成果。
高風險:殺毒軟件漏洞可能導致查殺過程變?yōu)閻阂夤羧肟?/span>
作為計算機的守護者,,殺毒軟件能夠清除一切已知的威脅計算機安全的木馬,、病毒等有害程序,但因為殺毒軟件需要分析所有系統(tǒng)上的復雜文件,,所以本身也成為很容易受攻擊的攻擊面,。
在2015年的POC安全大會上,360 Vulcan Team首次披露了一種針對微軟自帶的殺毒軟件Windows Defender掃描引擎的攻擊形式,,利用Windows Defender的安全漏洞,,攻擊者能夠突破Edge瀏覽器并攻破Win10系統(tǒng),這也是歷史上首次公開的利用殺毒引擎漏洞攻擊,突破系統(tǒng)權限限制的案例,。
此后的2017年,,Google Project Zero也披露了多個Windows Defender掃描引擎的安全漏洞,一旦殺毒軟件的安全漏洞被黑客掌握,,只要用戶下載文件并進行安全掃描,,黑客就能通過這些漏洞控制用戶電腦。
殺毒軟件作為安全守護者,,具有比普通軟件更高的系統(tǒng)權限,,下載掃描作為安全軟件查殺惡意程序的必要步驟,一旦這一流程被攻擊,,相當于直接給了攻擊者打開電腦中樞系統(tǒng)的鑰匙,。
高難度:突破架構難題 ,360首家將掃描引擎放入沙箱
為了防止更多利用殺軟自身問題攻擊系統(tǒng)的威脅出現(xiàn),,谷歌安全團隊的研究人員認為,,殺毒軟件應當學習計算機與瀏覽器等程序,將掃描引擎放入沙箱,。沙箱是一種限制程序行為的虛擬執(zhí)行環(huán)境,,計算機與瀏覽器等程序的操作都會在這個虛擬的程序中運行,在其內部運行的程序并不能對硬盤產生永久性的影響,,可用以測試不受信任的應用程序或上網行為,。
但是將掃描引擎加入沙箱與自身功能、架構有所沖突,,實現(xiàn)難度極高,,此前從未有殺毒軟件成功實現(xiàn)掃描引擎放入沙箱。
360獨創(chuàng)的QEX安全引擎,,能夠基于文件格式解析,、使用動靜態(tài)特征匹配/動靜態(tài)啟發(fā)式檢測算法,有效準確識別腳本,、文檔等格式的惡意文件,。QEX引擎的掃描過程放入沙箱,相當于把最容易被攻擊的文件下載檢測環(huán)節(jié)保護起來,,既保證了系統(tǒng)的穩(wěn)定性,,又實現(xiàn)了對沙箱的有效使用,從而避免毒軟件自身變?yōu)楹诳凸舻脑搭^,。
360此次實現(xiàn)殺毒掃描引擎與沙箱機制的結合,,解決了殺毒軟件自身的安全問題,降低了利用自身問題攻擊系統(tǒng)的幾率,,開創(chuàng)了殺毒引擎加入安全保護機制的先例,,實現(xiàn)了全球范圍內的歷史性突破,。(來源:中國信息產業(yè)網)
