惡意軟體＋在線沙箱服務＋雲＝數據滲漏

E安全3月23日訊 SafeBreach 公司安全研究人員發現，攻擊者可以利用在線沙箱服務從隔離網路當中滲漏數據，這項最新研究基於先前雲反病毒程序可被用於實施數據竊取的事實。

2017年，SafeBreach Labs 的研究人員伊茨科·科特勒與阿密特·克萊因公布了概念驗證（簡稱PoC）方案，證明惡意軟體確實能夠利用這種滲漏方法，這個方案即使在未直接接入互聯網的終端上仍可起效。該項技術會將數據打包至受感染終端上由惡意軟體進程創建的可執行文件當中。如果終端上的反病毒程序將這個可執行文件上傳至雲端進一步檢查，即使文件運行在接入互聯網的沙箱中，也仍然會導致數據滲漏。

當前滲漏數據原理

如今，SafeBreach 公司安全研究員道爾·阿佐爾表示，這些在線沙箱服務可被用於同樣的目的，且具體情況也非常類似。但如果攻擊者要實際使用這種方法，可能需要掌握關於目標網路的技術知識。

與原有技術不同，新型技術手段並不依賴於能夠與沙箱進行主動通信的代碼。相反，其利用沙箱服務自身的資料庫作為數據的媒介。這種攻擊方法需要將相關數據整理至可執行文件當中，並通過查詢沙箱服務的資料庫對其進行檢索，以取回這些數據。

這種攻擊首先利用惡意軟體感染終端，收集主機上的敏感信息，並將其打包至可執行文件中並保存到硬碟上，而後觸發反病毒軟體代理。接下來，反病毒軟體代理通過執行沙箱服務以檢查文件，並將分析結果保存到在線沙箱服務站點的資料庫中。最後，攻擊者便可利用該網站提供的 API 進行文件抓取。

特別之處

與2017年的方法不同，這種新方法不需要創建可執行文件並發送出站網路流量以實現數據滲漏。另外，新方法也能夠進一步增強攻擊活動的隱匿性。由於攻擊者只需要從沙箱服務資料庫中被動收集數據，因此加大了追蹤難度。

局限

然而，這種新技術只適用於會將可疑樣本發送至在線沙箱引擎中的場景，同時亦要求攻擊者清楚了解攻擊目標正在使用哪種沙箱服務。此外，儘管努力隱藏行跡，但服務的在線資料庫當中仍然存在相關公開數據。

這位安全研究人員表示，只有當目標組織將可疑文件發送至 VirusTotal 進行分析時，該攻擊才可用於實現數據滲漏。該服務需要訂閱才能訪問接受分析的文件內的信息，但攻擊者可能會在資料庫當中找到他們希望找到的具體可執行文件。

這位研究人員提出了一些可以執行該種攻擊的具體方式，包括利用 Magic String 的 spacebin（攻擊者可以對滲漏的數據進行加密與編碼）並將數據嵌入至一些流行惡意軟體當中。

阿佐爾總結稱，「提供上傳與搜索功能的公開沙箱服務可被用於實現數據滲漏。此類服務的資料庫將充當中介，用於將隱藏數據從源計算機處傳輸到查找預期數據的攻擊者手中。這類滲漏模型可以擁有多種表現形式，各種模型都具有不同的隱藏等級、實現難度、準確性以及容量水平等。」

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com/news/1035061999.shtml

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！