检查点正在升级其沙箱技术,使其在过程中早些时候捕获攻击,并使对避免检测的对手难以实现。
根据Nathan Shuchami的威胁预防销售负责人的威胁预防销售负责人,查询攻击者正在使用传统沙箱技术的复杂方法,监视Sandblast。
传统的沙箱,包括检查点,确定文件是否是合法的,通过在虚拟环境中打开它们来看看他们的所作所为。为了过去,沙盒攻击者已经设计了逃避技巧,例如延迟执行,直到沙箱给出或躺着休眠,直到机器它试图感染重新启动。
Sandblast挫败了返回面向返回的编程(ROP)的逃避技术,尽管通过数据执行预防(DEP)提供的保护,但函数是阻止被添加的可执行代码的广泛操作系统功能,可以在数据文件的顶部运行恶意可执行代码。到数据文件。
ROP通过抓住名为小工具的合法代码并运行它们来强制文件创建新的内存页面来创建可恶意shell代码以获得执行权限的新内存页面。此过程具有CPU响应返回与它们启动的地址不同的调用。
Sandblast有一个CPU级检测引擎,可在这个异常上拾取并阻止活动。该发动机可在客户数据中心的设备上提供或作为云服务运行的云服务。雷竞技电脑网站ShuChami说,引擎依赖于英特尔哈斯韦尔CPU架构的特征。
设备和服务已经可用于检查点现有的沙箱产品,称为威胁仿真,并且对于拥有IT Sandblast的客户提供升级无需额外费用。对于新客户,服务费用在每年3500美元至每年30,000美元之间。电器的范围从27,000美元到200,000美元。这些价格与没有喷砂的威胁仿真收取的价格相同的价格。
检查点还在引入一个名为威胁提取的功能,这使得在可以通过沙箱运行之前快速打开文件。ShuChami说,它将Word Documents do PDF文件中和它们可能包含的恶意软件。它可以将PDF文件转换为PDF文件,也可以到达相同的结尾。
这使得在沙箱在后台工作时可以安全地查看文档的内容。他说,如果用户需要原版,它将在沙箱发现良性之后。
或者,威胁提取可以删除宏,javascript,链接和其他潜在的恶意功能,但这不会使文件尽可能安全地转换它们。