E安全3月23日讯 SafeBreach 公司安全研究人员发现，攻击者可以利用在线沙箱服务从隔离网络当中渗漏数据，这项最新研究基于先前云反病毒程序可被用于实施数据窃取的事实。

2017年，SafeBreach Labs 的研究人员伊茨科·科特勒与阿密特·克莱因公布了概念验证（简称PoC）方案，证明恶意软件确实能够利用这种渗漏方法，这个方案即使在未直接接入互联网的终端上仍可起效。该项技术会将数据打包至受感染终端上由恶意软件进程创建的可执行文件当中。如果终端上的反病毒程序将这个可执行文件上传至云端进一步检查，即使文件运行在接入互联网的沙箱中，也仍然会导致数据渗漏。

当前渗漏数据原理

如今，SafeBreach 公司安全研究员道尔·阿佐尔表示，这些在线沙箱服务可被用于同样的目的，且具体情况也非常类似。但如果攻击者要实际使用这种方法，可能需要掌握关于目标网络的技术知识。

与原有技术不同，新型技术手段并不依赖于能够与沙箱进行主动通信的代码。相反，其利用沙箱服务自身的数据库作为数据的媒介。这种攻击方法需要将相关数据整理至可执行文件当中，并通过查询沙箱服务的数据库对其进行检索，以取回这些数据。

这种攻击首先利用恶意软件感染终端，收集主机上的敏感信息，并将其打包至可执行文件中并保存到硬盘上，而后触发反病毒软件代理。接下来，反病毒软件代理通过执行沙箱服务以检查文件，并将分析结果保存到在线沙箱服务站点的数据库中。最后，攻击者便可利用该网站提供的 API 进行文件抓取。

特别之处

与2017年的方法不同，这种新方法不需要创建可执行文件并发送出站网络流量以实现数据渗漏。另外，新方法也能够进一步增强攻击活动的隐匿性。由于攻击者只需要从沙箱服务数据库中被动收集数据，因此加大了追踪难度。

局限

然而，这种新技术只适用于会将可疑样本发送至在线沙箱引擎中的场景，同时亦要求攻击者清楚了解攻击目标正在使用哪种沙箱服务。此外，尽管努力隐藏行迹，但服务的在线数据库当中仍然存在相关公开数据。

这位安全研究人员表示，只有当目标组织将可疑文件发送至 VirusTotal 进行分析时，该攻击才可用于实现数据渗漏。该服务需要订阅才能访问接受分析的文件内的信息，但攻击者可能会在数据库当中找到他们希望找到的具体可执行文件。

这位研究人员提出了一些可以执行该种攻击的具体方式，包括利用 Magic String 的 spacebin（攻击者可以对渗漏的数据进行加密与编码）并将数据嵌入至一些流行恶意软件当中。

阿佐尔总结称，“提供上传与搜索功能的公开沙箱服务可被用于实现数据渗漏。此类服务的数据库将充当中介，用于将隐藏数据从源计算机处传输到查找预期数据的攻击者手中。这类渗漏模型可以拥有多种表现形式，各种模型都具有不同的隐藏等级、实现难度、准确性以及容量水平等。”

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1035061999.shtml

▼点击“阅读原文” 查看更多精彩内容