سندباکس (Sandbox) در امنیت سایبری چیست؟ آشنایی با مفهوم جعبه شن و کارکرد آن

0 54

فهرست

سندباکس (Sandbox) چیست؟

در دنیای امنیت سایبری، جعبه شن یا سندباکس (Sandbox) به محیط ایزوله‌ای گفته می‌شود که در آن کدهایی که احتمال مخرب بودن آن‌ها وجود دارد یا به آن‌ها شک داریم را اجرا می‌کنیم تا در صورت مخرب بودن آن‌‌ها به سیستم یا شبکه اصلی آسیبی نرسد. استفاده از Sandbox در تشخیص بدافزارها می‌تواند یک لایه حفاظتی برای سیستم‌ها و شبکه در مقابل تهدیدات جدید مثل Zero-dayها به حساب می‌آید. هر اتفاقی که درون Sandbox می‌افتد، به محیط بیرونی آن سرایت نمی‌کند چرا که یک محیط ایزوله می‌باشد.

کاربرد سندباکس چیست؟

محیط سندباکس یک لایه امنیتی پیشگیرانه را برای امنیت شبکه ایجاد می‌کند! یعنی با استفاده از سندباکس سعی می‌کنیم از اجرای بدافزارها برروی سیستم‌ها پیشگیری کنیم. یکی از جاهایی که Sandboxing کاربرد دارد، در تهدیدات پیشرفته پایدار (APT) می‌باشد. تهدیدات APT یا Advanced Persistent Threat بصورت هدفمند انجام می‌شوند. این تهدیدات عموما سازمان‌های بزرگ را هدف قرار می‌دهند و اطلاعات مهم آن‌ها را به سرقت می‌برند. این تهدیدات عموما سیستم‌های تشخیص نفوذ را دور می‌زنند. محیط سندباکس می‌تواند در مقابله با بدافزارهایی که از طریق این تهدیدات منتشر می‌شوند، موثر باشد.

سندباکس چگونه کار می‌کند؟

همانطور که اشاره شد، تست سندباکس بصورت پیشگیرانه کدهایی که احتمالا مخرب هستند را درون یک محیط ایزوله اجرا می‌کند. هدف از این کار این است که رفتار کد زیرنظر گرفته شود و خروجی اقدامات آن مشخص شود. این رفتار پیشگیرانه از اهمیت بسیار بالایی برخوردار است! اکثر سیستم‌های امنیتی سنتی بصورت پیشگیرانه عمل نمی‌کردند و رفتار آن‌ها واکنشی است. یعنی بعد از ورود بدافزار به سیستم اصلی و بصورت مبتنی بر امضا (Signature-based) اقدام به پیدا کردن الگوی رفتاری آن می‌کردند. سپس با مقایسه الگوی رفتاری کد مخرب کنونی با الگوی رفتاری بدافزارهای گذشته، سعی می‌کردند کد مشکوک را قضاوت کنند. اگر کد مشکوک الگوی رفتاری مشابه با کدهای مخرب داشت، آن را مخرب می‌پنداشتند. اما این رفتار دیگر کارامد نیست! چرا که نیاز است قبل از ورود بدافزار به سیستم اصلی، آن را تشخیص دهیم.

پیاده سازی سندباکس

روش‌های زیادی برای پیاده‌سازی و استفاده از سندباکس وجود دارد. سه تا از مرسوم‌ترین پیاده‌سازی‌ها و استفاده‌ها از سندباکس بصورت زیر می‌باشد:

  • شبیه‌سازی کل سیستم (Full System Emulation): در این مدل در محیط سندباکس، تجهیزات سخت‌افزاری سیستم مثل پردازنده و حافظه شبیه‌سازی می‌شود. اینکار باعث می‌شود رفتار فایل‌های مشکوک دقیق‌تر و جزیی‌تر بررسی شود.
  • شبیه سازی سیستم‌عامل (OS Emulation): در این نوع از محیط سندباکس، تنها سیستم‌عامل شبیه‌سازی می‌شود و نه سخت‌افزار آن.
  • مجازی‌سازی (Virtualization): در این مدل از یک سندباکس مبتنی بر ماشین مجازی (Virtual Machine) استفاده می‌شود.

روش های دور زدن Sandbox

هکرها همواره تلاش می‌کنند تا بدافزار خود را به نحوی طراحی کنند که توانایی دور زدن جدیدترین مکانیزم‌های دفاعی را داشته باشد. از آنجایی که در محیط سندباکس احتمال شکار تهدیدات بالا می‌رود، هکرها همواره روش‌هایی را برای دور زدن این محیط بکار می‌گیرند. چند مورد از روش‌های اولیه برای دور زدن Sandbox بصورت زیر می‌باشد:

تشخیص محیط سندباکس

محیط‌های سندباکس تفاوت‌های جزیی با محیط‌های واقعی دارند. بسیاری از بدافزارها با شناسایی این تفاوت‌ها، کدهای مخرب خود را در محیط سندباکس انجام نمی‌دهند. یعنی بعد از خروج از سندباکس، شروع به اجرای کدهای مخرب می‌کنند.

استفاده از ضعف سندباکس ها

هر چقدر هم که یک سندباکس پیچیده و حرفه‌ای باشد، احتمال این وجود دارد که مهاجمین نقطه ضعفی در آن پیدا کنند و با استفاده از آن کد مخرب خود را به محیط اصلی برسانند. برای مثال استفاده از فرمت‌های ناشناخته یکی از روش‌های اولیه‌ای بود که مورد استفاده قرار می‌گرفت. سندباکس در پردازش این فرمت‌ها ناتوان بود، بنابراین بدافزار از سندباکس براحتی عبور می‌کرد.

استفاده از روش‌های آگاه از محتوا (Context Aware)

بدافزارهای آگاه از محتوا، عموما از ضعف‌های سندباکس‌های اتوماتیک استفاده می‌کنند. برای مثال، برخی از بمب های منطقی برای موفق شدن، از این روش استفاده می‌کنند. یعنی با آگاهی از محیطی که در آن قرار می‌گیرند، رفتار متفاوتی انجام می‌دهد. یا مثلا اقدام اصلی خود را به تاخیر می‌اندازند تا از عدم حضور در سندباکس مطمئن شوند. یکی از روش‌هایی که در این باره استفاده می‌شود، تعاملات انسانی با کامپیوتر است. هر جا که حرکت نشانگر ماوس مشاهده شد، می‌توان این نتیجه‌گیری را کرد که در محیطی غیر از سندباکس حضور داریم. (البته این تنها یک مثال برای فهم بهتر بود!)

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence 

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.