沙箱、蜜罐原理浅析

目录

  • 一、沙箱(网络编程虚拟执行环境)
    • 1.1 概述
    • 1.2 重定向技术
    • 1.3 虚拟机和沙箱的区别
  • 二、蜜罐
    • 2.1 概述
    • 2.2 蜜罐诱捕关键能力
    • 2.3 反蜜罐技术
    • 2.4 蜜罐的思考
  • 三、网络欺骗(Cyber Deception)

一、沙箱(网络编程虚拟执行环境)

1.1 概述

Sandboxie(又叫沙箱、沙盘)即是一个虚拟系统程序,在计算机安全领域中是一种安全机制,为运行中的程序提供的隔离环境。 在网络安全中,沙箱指在隔离环境中,用以测试不受信任的、具破坏力的或无法判定程序意图的程序行为的工具。

  • 虚拟系统程序:沙箱通常严格控制其中的程序所能访问的资源,比如,沙箱可以提供用后即回收的磁盘及内存空间。在沙箱中,网络访问、对真实系统的访问、对输入设备的读取通常被禁止或是严格限制。从这个角度来说,沙盒属于虚拟化的一种。
  • 隔离环境:当前的有效沙箱基本都是在专用虚拟机上执行。这么做可以在与网络隔离的主机上用多种操作系统安全地测试恶意软件。简言之,沙箱就是供应用执行或文件打开的安全隔离环境。官方用一个很形象的比喻说明了沙箱的原理:你的电脑是一张纸,程序的运行与改动就是在纸上写字。而沙箱相当于放在纸上的一块玻璃,程序的运行与改动只能写在那块玻璃上,而纸还是干干净净的。
  • 不受信任的、具破坏力的、无法判定程序意图的程序:因为现代恶意软件大多经过模糊处理以规避基于特征码的杀毒软件,所以基于内容(静态分析)的恶意代码检测技术就显得比较吃力了,基于行为分析(动态分析)的反恶意软件解决方案就变得越来越重要了,该方法是将不受信任的、具破坏力的、无法判定程序意图的程序在沙箱中运行,根据运行结果判定可疑程序是否真的为恶意软件。

1.2 重定向技术

沙箱究竟是怎么做到在安全隔离环境中去测试可疑程序呢?总结起来就是三个字:重定向!
重定向,即重新指定方向,也就是说沙箱能够做到让沙箱内软件操作的文件、接口、注册表等路径重定向到其他位置(沙箱指定位置),这样可疑软件程序本来想访问或执行的系统资源就不会被访问或执行,保证资源的安全性。其实重定向也可以叫做“虚拟化”,或者称作"隔离"。

举个栗子:
如果电脑里面不小心中了恶意程序,该恶意程序会自动删除C:\ProgramData这个文件夹里面的所有数据,那么如果把这个恶意程序先放到沙箱中去运行,结果会是怎样呢?
1.沙箱hook ZwDeleteFile,函数是HOOK_ZwDeleteFile;
2.在HOOK_ZwDeleteFile中,将路径C:\ProgramData加上一个前缀C:\sandbox\ProgramData,转到沙箱内文件路径;
3.接着把C:\ProgramData拷贝到沙箱内,现在沙箱内就存在C:\sandbox\ProgramData这样的一个文件了;
4.然后调用原始ZwDeleteFile,删除C:\sandbox\ProgramData。

这样,利用沙箱的重定向技术,我们观察到可疑程序的危险动作,从而判断这个可疑程序是个恶意程序,并对这个恶意程序做进一步处理。

一个完备的沙箱一般需要虚拟化(隔离)处理这些东西:

  1. 文件
  2. 注册表
  3. DCOM(RPCSS)
  4. 服务 安全浏览器
  5. 其他如:窗口、类名、消息、token等
  6. 进程、线程安全
  7. 全局钩子、注入等防护
  8. 驱动加载

1.3 虚拟机和沙箱的区别

上面反复提到虚拟化和沙箱,需要注意的是虚拟机和沙箱是两个东西,不要混淆,具体区别如下:
带有沙箱的计算机结构

图1 带有沙箱的计算机结构

运行在沙盒中的application和沙盒外的application共享机器的存储内存和计算资源。当沙盒内的application退出后,沙盒内的application已下载或“安装”的恶意软件都将 被丢弃。
在这里插入图片描述

图2 带有虚拟机的计算机结构

虚拟机简称VM,其本质上是一个运行在操作系统之上的application,其特殊之处在于,虚拟机通过软件的方法模拟出一个完整独立的计算机的环境(但是并不是真是的计算机环境),这也是虚拟机名字的由来。

在一个虚拟机内部,可以安装很多个application,这些application可以使用虚拟机内部的资源,包括虚拟硬盘和计算资源。此外虚拟机内部可以享有属于自身的驱动程序,因此虚拟机是作为一个application,利用真是的硬件资源来模拟了属于自己的硬件资源和软件环境。因此当虚拟机退出后,发生在虚拟机内部的更改(包括下载、设置、更新、安装等操作)会被保存下来。

总结下沙箱和虚拟机的区别主要有亮点,如下:

  1. 当沙箱中的应用程序退出后,其所做的更改会被丢弃;而当虚拟机退出后,其所做的更改会被保存下来;
  2. 沙箱中的application和其他application共享机器的硬件资源;而虚拟机在安装时需要为其指定内存memory和cpu核且虚拟机不和其他application共享硬件资源。因此虚拟机实际上是很耗系统资源的。

二、蜜罐

2.1 概述

蜜罐是一种软件应用系统,用来称当入侵诱饵,引诱黑客前来攻击。蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,黑夹子是一个安全隔离环境,而且上方还悬着研究人员的八倍镜,蜜罐可以让研究人员观测真实的攻击者是怎样一步一步实施攻击动作的,而沙箱仅揭示恶意软件的行为结果。

设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

2.2 蜜罐诱捕关键能力

从安全价值来看,蜜罐诱捕技术可以分为拆分为四层:

  • 诱饵层:通过散布诱饵信息(比如项目信息、虚假邮箱等)使攻击者根据特定的路线进行行进攻击;通过部署面包屑,将攻击者逐渐引入蜜罐系统。
  • 探针层:探针用于监测客户未使用的端口、IP段等,将试图接入的访问重定向到蜜罐系统。
  • 蜜罐层:蜜罐层为蜜罐设备,有各类仿真的系统、应用服务、数据库,甚至设备等,并且对事件信息进行采集。
  • 分析层:分析层的主要任务是将诱捕环境中收集到的信息进行分析,从而达成攻击溯源、攻击手段分析、威胁情报生成等目的。需要注意的是,这一部分能力,如果蜜罐诱捕产品无法提供,可以联动其他安全产品达成。

这里就不再对每一层的技术展开了,感兴趣的欢迎评论区讨论。

2.3 反蜜罐技术

有蜜罐技术,就存在反蜜罐技术,现有的反蜜罐措施主要针对低交互蜜罐,这是因为蜜罐仿真系统对协议分片的处理不正确或协议仿真不完全会导致出现网络层指纹信息,如果指纹信息倍攻击者检测到,那么攻击者就知道自己身处蜜罐中了。

攻击者亦可利用时间延迟也可识别蜜罐,因为低交互蜜罐作为软件运行在操作系统上层,会对资源造成消耗,增大响应时延。

也有一些反蜜罐措施是在进入蜜罐系统后,采用系统调用的方式,调用内部某些功能,依据执行的结果判断是否是蜜罐。

2.4 蜜罐的思考

蜜罐是用来给黑客入侵的,它必须提供一定的漏洞,但是我们也知道,很多漏洞都属于“高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的。例如,一个入侵者成功进入了一台蜜罐,并且用它做“跳板”去攻击别人,那么这个损失由谁来负责?因此,设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。


三、网络欺骗(Cyber Deception)

欺骗防御则是一个新的术语,其定义尚未定型,但基本指的是一系列更高级的蜜罐和蜜网产品,能够基于所捕获的数据为检测和防御实现提供更高的自动化程度。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/27019.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

当 ChatGPT 遇上开源容器安全工具集「问脉」

前言 看到最近铺天盖地的 ChatGPT 相关文章👀,作为一位爱刺激&爱冒险&好奇心强烈&动手能力强的安全技术爱好者(bushi)🤭,按捺不住躁动的灵魂,决定做一个简单的容器安全风险分析工具…

利用蜜罐捕捉攻击实验(31)

预备知识 1、蜜罐的含义和作用 蜜罐(Honeypot)是一种在互联网上运行的计算机系统。它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的,蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机&#xff…

关于网络安全里蜜罐的详细介绍

蜜罐的定义 蜜罐的一个定义来自间谍世界,玛塔哈里 (Mata Hari) 式的间谍将恋爱关系用作窃取秘密的方式,被描述为设置“美人计”或“蜜罐”。经常会有敌方间谍中了美人计,然后被迫交待他/她所知道的一切。 在计算机安全方面,网络…

【网络安全之——蜜罐】

网络安全之蜜罐 1.什么是蜜罐?2.原理是什么?3.蜜罐的分类4.研究现状5.蜜罐的缺点6.Hfish蜜罐的使用介绍 1.什么是蜜罐? 蜜罐是一种主动防御技术,通过主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击,从而可以对…

ChatGPT 的知识策略,构建低成本的认知助手

ChatGPT 风靡全球!它无处不在。我的朋友不断向我发送 ChatGPT 所做的奇妙和意想不到的事情的例子。ChatGPT 在短短五天内就吸引了超过 100 万用户。 我对 ChatGPT 变得如此出色并不感到惊讶。但令我惊讶的是,在过去两个月中,人们对这些工具的认识有了惊人的增长。这鼓励我帮…

40岁高中老师开源的数据集LAION,改变了生成式AI的未来丨智源大会嘉宾风采

导读 如今,拥有超过50亿个图文对的 LAION数据集已经成为生成式AI未来的中心ーー而随之而来的关于如何监管人工智能的争论也日益激烈。 在德国北部城市汉堡郊区的一栋房屋前,一个信箱上用铅笔潦草地写着一个单词——“ LAION”。这唯一的记号表明&#xf…

OPPO造芯的最后18分钟:CEO数次低头哽咽,3000人团队原地解散

编辑:明敏 杨净 量子位 | 公众号 QbitAI “自古多情空余恨,好梦由来最易醒。” 当OPPO芯片设计公司哲库CEO刘君宣布关停业务解散全员后,停顿数秒、深吸一口气,缓缓说出这样一句诗,似乎总结了自己的所有情绪。 3天前&am…

AI 热潮下,Web3 领域有哪些尚未被发现的宝藏?

整理:angelilu,Foresight News 图片来源:由 无界版图AI 工具生成 这两天社群中传播最多的当属与人工智能预训练语言模型 ChatGPT 的聊天截图,你问我答间也真实感受到了 ChatGPT 的进化,不禁感叹人工智能真的智能了&…

OpenAI CEO谈AI画图明星DALL·E 2:技术突破不多,地气接了不少

Alex 发自 凹非寺量子位 | 公众号 QbitAI 今年都快年末了,蹦出来一个ChatGPT,然后光速走红,服务器都被挤爆好几回。 而往前一看,这样的火爆场面,在4月份DALLE 2发布时也出现过。 不同圈子的人纷纷下场搞起了AI创作&…

开源聊天系统-Vocechat,私有化部署,适合个人和中小企使用,亲测有用

VoceChat 简介 VoceChat是一款支持独立部署的个人云社交媒体聊天服务。15MB 的大小可部署在任何的服务器上,部署简单,很少需要维护。前端可以内嵌到自己的网站下,数据完全由用户自己掌握,传输过程加密。VoceChat 适用于团队内部交…

chatgpt赋能python:Python图形:让数据更生动

Python图形:让数据更生动 Python作为一种高级程序语言,不仅能在数据分析、机器学习、人工智能等领域发挥重要作用,还能通过图形展示数据,让人一目了然地了解数据背后的故事。本文将介绍Python图形的基本概念、工具和应用&#xf…

为什么喜剧节目越来越不好笑了?

昨晚随意点开了一档正在播出的喜剧节目,结果没看完就被“劝退”了,实在是不好笑,关键还尴尬!转了一圈评论,发现果然“英雄所见略同”,评论里对节目的吐槽占了相当一部分。想着另外换个评价好的,…

Windows Service 小品

我们通过 Windows 服务可以创建在 Windows 会话中长时间运行的应用程序。服务可以跟随计算机一起启动,并且可以暂停、停止和重启。Windows 服务和 Windows Form 程序最大的不同点是 Windows 服务没有任何用户界面。Windows 服务一般用于后台处理数据,例如…

【嵌入式Linux开发一路清障-连载03】Ubuntu22.04使用Mount加载硬盘或NAS等硬盘

Ubuntu22.04使用Mount加载硬盘或NAS等硬盘 障碍06-学习资料存储在NAS中,如何方便的访问NAS或其它硬盘中的资料呢?摸索访问共享文件夹利用文件系统中尝访问局域网中的共享文件夹(成功)利用smb协议访问局域网中的共享文件夹&#xf…

帝国CMS7.5小品屋在线小品相声视频网站模板修复版

简介: 帝国CMS小品屋在线小品相声视频网站模板,带手机端。修复部分BUG,升级帝国CMS7.5版本。 后台自带部分测试数据,图片附件未入库,建议测试完成后删除。 火车头采集器已失效,已删除。CKPLAY播放器已失效…

小品-三句半-背诵apk

1. 需求 公司年会要求每个部门出一个节目,我们的界面是小品《三句半》,4个人,每人说一句,奈何台词太长了,故写了个背台词的demo.最终年会10个节目中,获得第二名,很开心。 1.1 apk 下载路径 h…

西湖奇缘(小品)

小青(男扮女),白娘子,许仙,路人甲(程序员),法海 背景西湖,断桥,远处是雷峰塔 白娘子在前,小青紧跟其后,从舞台左侧上台。 白娘子望着远处的断桥,面向观众说。…

计算机学院可以表演的小品,中央戏剧学院小品表演真题之单人小品

中央戏剧学院小品表演真题之单人小品 时间:2019-03-19 中央戏剧学院小品表演真题之单人小品 1.综合部分 (1)讲一件使人发笑的事情。(2讲一件自己最难过的事情。(3讲一段不寻常的经历。(4)打电话告诉对方一件极为愉快的事情。(5)打电话告诉对方一件十分悲痛的事情。(…

用计算机对话的小品,爆笑小品剧本台词《作弊记》

小品深入生活,贴近生活,体验生活,从生活中找灵感。要用艺术的眼光去发现题材,挖掘题材。 人物: 学生甲 学生乙 监考教师 (教室门前)(甲乙边走边聊,乙背着书包,甲两手空空,只在上衣贴…

基于chatgpt的全套智能创作saas源码系统,在这里

chatgpt无疑是2023年最热的项目之一,市面上有很多的基于chatgpt的产品,但是用着都感觉噱头大,不顺手。于是我们自己开发了一套基于chatgptmj绘画的系统。 如果你正在寻找一款领先的源码系统来不是搭建来赚钱,那么您看下我们的产品…