AhnLabMDS,下一代主动型安全技术.PDFVIP

安博士月刊2013年3月号 AhnLab, Inc. . 星 期 三 10月 30 日 2 0 1 3年 Vol.13 【安博士月刊】是综合安全解决方案公司-安博士公司发行的网络安全信息月刊。 禁止复制和转载本刊任何内容。 AhnLab MDS ， 下一代主动型安全技术 市场研究公司 Gartner 推出预测报告，如要应对 APT ，不仅具备基本的安全响应体系，还要具备高级的防御技 术。Gartner 还预测，未来将需要“取证分析(Forensic)”和 “沙箱(Sandboxing)”等安全响应技术。为了响应 越来越高级化的安全威胁 ，AhnLab 已在 APT 解决方案 “AhnLab MDS”就体现了沙箱技术。AhnLab MDS 不仅具备了 Gartner 强调的下一代安全技术“沙箱技术”基础的卓越的分析能力，还具备了自己研发的动态内 容分析技术“DICA （Dynamic Intelligence Content Analysis ）”。同时，AhnLab MDS 还装载了最根本的 响应方案且可以实际应对 (修复和响应)的 Agent 技术。 AhnLab MDS 结合了包括沙箱技术的下一代主动型安全技术后变得更强大 ，本刊将详细介绍 AhnLab MDS 的 APT 响应技术 。 沙箱技术概要 在介绍沙箱技术之前，首先来了解以下恶意软件分析方法。 恶意软件分析方法可以分为静态分析和动态分析。动态分析通过运行分析对象样本后分析其行为，当发现可疑行 为和明确的恶意行为 ，即诊断为恶意软件。这种动态分析过程存在着危险，这里危险是指黑客通过某种恶意行为 对分析系统和周边网络引起致命的打击，如发生系统破坏、攻击相同网络的其他系统和网络超载等。 与此相反，静态分析为了最小化这种危险，通过AV扫描诊断已知恶意软件(known malware)或者利用分析文件 头及二进制字符串等方式。更专业点，通过调试器分析 API 调用关系等方法诊断恶意软件与否。 沙箱技术是在沙箱环境下进行基于动态分析的恶意软件分析的技术。沙箱环境是指如虚拟机(Virtual Machine)的 虚拟的受限制的操作系统环境，重要的一点是，由动态分析结果发生的损害不会传播到分析系统外部。沙箱技术 根据技术供应商不同，用 “VM(Virtual machine)”、 “VM emulator”、 “Hypervisor”和 “沙箱”等表 现。 AhnLab 1 安博士月刊2013年3月号 AhnLab, Inc. . 那么，为什么选择沙箱技术？ 在回答此问题之前，让我们来先了解一下为什么需要基于动态分析的恶意软件分析。 随着网络攻击越来越复杂且恶意软件变得越来越强大，仅依赖于传统防病毒软件的启发式(heuristic)功能检测未 知恶意软件，或者提取 PE头或样品字符串诊断恶意与否已越来越无效。尤其是，恶意软件制作者利用多样的常用 加壳(packer)或者定