¿Por qué los entornos de espacio aislado no se basan en programas antivirus?

1

Desde hace años, los malhechores usan JavaScript para crear ataques de malware web, como el ataque de descarga que se usa por ejemplo para instalar el famoso CoolWebSearch virus.

Existen métodos estáticos que analizan el texto de las páginas web y enseñan a una máquina de aprendizaje a informar a un clasificador sobre cómo detectar malware web basado en firmas. Este enfoque no es bueno porque es inútil contra el código JavaScript confuso y los ataques de día cero.

Existen otras soluciones y se basan en el análisis de los comportamientos dinámicos de JavaScript que utilizan entornos de espacio aislado o estableciendo un proxy (en ambos casos, la página no se representa para el usuario antes de su análisis dinámico).

Mi pregunta: ¿Por qué los entornos de sandboxing utilizados para supervisar el malware de JavaScript no dependen de un programa antivirus y prefieren utilizar programas codificados para analizar el estado de la máquina (máquina virtual) en la que se ejecutan? (Los programas de antivirus también utilizan el análisis dynamix)

    
pregunta AviD 08.07.2014 - 16:52
fuente

1 respuesta

2

El problema radica en gran medida en la eficacia del análisis dinámico. ¿Cómo se define el malware? ¿Qué hace el malware siempre que los programas normales nunca hacen? (Sugerencia: no hay respuesta a esta pregunta)

Los programas maliciosos bien escritos pueden parecer inocentes y los programas perfectamente legítimos pueden parecer peligrosos.

Aquí hay un ejemplo simple: el malware podría intentar unir su computadora a una botnet. ¿Entonces el análisis dinámico está buscando nuevas conexiones salientes? Bueno, ¿y si se retrasa el tiempo? No lo captarás y todavía lo servirás al usuario. Entonces, ¿buscas un código que inicie una conexión? ¿Qué pasa si es una aplicación legítima que inicia conexiones a un servidor?

Para casi cualquier ejemplo, puede encontrar una forma de evitar la detección o un caso de uso legítimo que se bloquee.

Es más efectivo para el sandbox: para restringir los permisos de los componentes que puedan verse comprometidos. Por ejemplo, no permita que las pestañas de su navegador (que son procesos separados en algo como Chrome) tengan acceso al sistema de archivos. Incluso si un proceso de pestañas se ve comprometido, no puede escribir archivos maliciosos en su disco (sin pedirle permisos)

    
respondido por el akirilov 08.07.2014 - 20:35
fuente

Lea otras preguntas en las etiquetas