Perché gli ambienti di sandboxing non si basano su programmi antivirus?

Question

Perché gli ambienti di sandboxing non si basano su programmi antivirus?

#1 da (2 voti)

1

Da anni, i malintenzionati utilizzano JavaScript per creare attacchi di malware Web come attacco di download drive-by che viene utilizzato ad esempio per installare il famoso Virus CoolWebSearch .

Esistono metodi statici che analizzano il testo delle pagine Web e insegnano a un computer di apprendimento a informare un classificatore su come rilevare il malware Web in base alle firme. Questo approccio non è buono perché è inutile contro il codice JavaScript offuscato e gli attacchi zero-day.

Esistono altre soluzioni basate sull'analisi dei comportamenti dinamici di JavaScript che utilizzano ambienti di sandboxing o impostando un proxy (in entrambi i casi la pagina non viene sottoposta a rendering per l'utente prima della sua analisi dinamica).

La mia domanda: perché gli ambienti di sandboxing utilizzati per controllare il malware JavaScript non si basano su un programma antivirus e preferiscono utilizzare programmi codificati per analizzare lo stato della macchina (macchina virtuale) in cui vengono eseguiti? (I programmi antivirus utilizzano anche l'analisi dynamix)

web-browser malware sandbox

posta AviD 08.07.2014 - 16:52

fonte

1 risposta

Leggi altre domande sui tag web-browser malware sandbox

Cosa deve verificare un cliente dopo aver ottenuto un certificato client? Disabilita tutti i meccanismi di sicurezza SSH per una sottorete privata

score 2 · Answer 1

Il problema riguarda in gran parte l'efficacia dell'analisi dinamica. Come definisci il malware? Che cosa fa sempre il malware fa sempre i programmi normali? (Suggerimento: non c'è risposta a questa domanda)

Un malware ben scritto può sembrare innocente e programmi perfettamente legittimi possono sembrare pericolosi.

Ecco un semplice esempio: il malware potrebbe tentare di unire il tuo computer a una botnet. Quindi l'analisi dinamica sta cercando nuove connessioni in uscita? Bene, cosa succede se è in ritardo? Non lo prenderai e lo servirai ancora all'utente. Quindi cerchi il codice che avvierà una connessione? Che cosa succede se si tratta di un'app legittima che avvia le connessioni a un server?

Per quasi tutti gli esempi, puoi trovare un modo per aggirare il rilevamento o un caso d'uso legittimo che potrebbe essere bloccato.

È più efficace sandbox - per limitare le autorizzazioni dei componenti che potrebbero essere compromessi. Ad esempio, non consentire alle schede del browser (che sono processi separati in qualcosa di simile a chrome) di avere accesso al filesystem. Anche se un processo di tabulazione viene compromesso, non è possibile scrivere file dannosi sul disco (senza richiedere autorizzazioni)