中國廠商攻克行業(yè)難題:殺毒掃描首創(chuàng)沙箱保護(hù)模式
發(fā)布時(shí)間:2018-01-30系統(tǒng)有漏洞,殺毒軟件可以防;如果殺毒軟件有漏洞,誰來防呢?對此,谷歌安全團(tuán)隊(duì)多次呼吁殺毒廠商為引擎加入沙箱保護(hù)。但是由于沙箱和殺毒軟件自身功能、架構(gòu)的沖突,這已成為網(wǎng)絡(luò)安全行業(yè)共同面臨的世界級難題。
2018年1月,中國安全廠商360發(fā)布重磅消息,全球首家成功實(shí)現(xiàn)了殺毒掃描的沙箱保護(hù)——360殺毒和安全衛(wèi)士的最新版本,為QEX安全引擎加入沙箱隔離防護(hù)機(jī)制。當(dāng)用戶下載文件進(jìn)行安全檢測時(shí),QEX引擎對文件的掃描過程會在沙箱中執(zhí)行,可以避免黑客利用殺毒軟件漏洞實(shí)施攻擊。這是360在首創(chuàng)云查殺、云安全主動防御、人工智能引擎等技術(shù)變革之后,再次領(lǐng)先業(yè)界的嘗試,也是360對安全創(chuàng)新的前瞻成果。
高風(fēng)險(xiǎn):殺毒軟件漏洞可能導(dǎo)致查殺過程變?yōu)閻阂夤羧肟?/span>
作為計(jì)算機(jī)的守護(hù)者,殺毒軟件能夠清除一切已知的威脅計(jì)算機(jī)安全的木馬、病毒等有害程序,但因?yàn)闅⒍拒浖枰治鏊邢到y(tǒng)上的復(fù)雜文件,所以本身也成為很容易受攻擊的攻擊面。
在2015年的POC安全大會上,360 Vulcan Team首次披露了一種針對微軟自帶的殺毒軟件Windows Defender掃描引擎的攻擊形式,利用Windows Defender的安全漏洞,攻擊者能夠突破Edge瀏覽器并攻破Win10系統(tǒng),這也是歷史上首次公開的利用殺毒引擎漏洞攻擊,突破系統(tǒng)權(quán)限限制的案例。
此后的2017年,Google Project Zero也披露了多個(gè)Windows Defender掃描引擎的安全漏洞,一旦殺毒軟件的安全漏洞被黑客掌握,只要用戶下載文件并進(jìn)行安全掃描,黑客就能通過這些漏洞控制用戶電腦。
殺毒軟件作為安全守護(hù)者,具有比普通軟件更高的系統(tǒng)權(quán)限,下載掃描作為安全軟件查殺惡意程序的必要步驟,一旦這一流程被攻擊,相當(dāng)于直接給了攻擊者打開電腦中樞系統(tǒng)的鑰匙。
高難度:突破架構(gòu)難題 ,360首家將掃描引擎放入沙箱
為了防止更多利用殺軟自身問題攻擊系統(tǒng)的威脅出現(xiàn),谷歌安全團(tuán)隊(duì)的研究人員認(rèn)為,殺毒軟件應(yīng)當(dāng)學(xué)習(xí)計(jì)算機(jī)與瀏覽器等程序,將掃描引擎放入沙箱。沙箱是一種限制程序行為的虛擬執(zhí)行環(huán)境,計(jì)算機(jī)與瀏覽器等程序的操作都會在這個(gè)虛擬的程序中運(yùn)行,在其內(nèi)部運(yùn)行的程序并不能對硬盤產(chǎn)生永久性的影響,可用以測試不受信任的應(yīng)用程序或上網(wǎng)行為。
但是將掃描引擎加入沙箱與自身功能、架構(gòu)有所沖突,實(shí)現(xiàn)難度極高,此前從未有殺毒軟件成功實(shí)現(xiàn)掃描引擎放入沙箱。
360獨(dú)創(chuàng)的QEX安全引擎,能夠基于文件格式解析、使用動靜態(tài)特征匹配/動靜態(tài)啟發(fā)式檢測算法,有效準(zhǔn)確識別腳本、文檔等格式的惡意文件。QEX引擎的掃描過程放入沙箱,相當(dāng)于把最容易被攻擊的文件下載檢測環(huán)節(jié)保護(hù)起來,既保證了系統(tǒng)的穩(wěn)定性,又實(shí)現(xiàn)了對沙箱的有效使用,從而避免毒軟件自身變?yōu)楹诳凸舻脑搭^。
360此次實(shí)現(xiàn)殺毒掃描引擎與沙箱機(jī)制的結(jié)合,解決了殺毒軟件自身的安全問題,降低了利用自身問題攻擊系統(tǒng)的幾率,開創(chuàng)了殺毒引擎加入安全保護(hù)機(jī)制的先例,實(shí)現(xiàn)了全球范圍內(nèi)的歷史性突破。(來源:中國信息產(chǎn)業(yè)網(wǎng))