作者:anhkgg
日期:2019年10月4日
最早接觸沙箱,對它的印象就是:sandboxie。
因爲學的是安全相關專業,在網上下載東西非常謹慎,就算通過了殺毒軟件掃描,但是也怕有後門或者其他東西,畢竟我也可以靜態過掉殺軟。
很多軟件沒有官網,各種下載站的東西真的是讓人不放心。
所以在下載某些軟件後,只要不影響功能,基本都會用sandboxie來運行軟件。如果不行,則放到虛擬機裏。
所以我對沙箱最初的概念就是:sandboxie,它是一個輕量級虛擬機,軟件的操作都不會影響真正的系統,包括文件、註冊表等等資源,可以放肆地想幹嘛幹嘛。
那時當然是不怎麼知道sanboxie是怎麼做的。
題外話:最近因爲微軟的關係,sanboxie已選宣佈免費,後續還可能開源,感興趣的可以關注關注。
沙箱
注:沙箱現在的概念非常雜,某些分析平臺後端也叫沙箱,主要關注的行爲獲取,我這裏說的不一樣。
那麼沙箱究竟是怎麼做的呢?
一句話概括的話就是:沙箱內萬物基於重定向。
重定向,顧名思義,就是重新指定方向,也就是說沙箱能夠做到讓沙箱內軟件操作的文件、註冊表等路徑重定向到其他位置(沙箱指定位置),這樣軟件本來想操作的資源就不會被訪問或者操作,保證資源的安全性。
這也就是我使用沙箱跑一些不明軟件的原因,萬一軟件被惡意修改過,存在病毒,想破壞系統關鍵文件,也就不可能了。
言歸正傳。
重定向我們還有個高級的詞叫做“虛擬化”,也可以稱作"隔離",說到底沙箱就是爲程序提供一個虛擬化環境,也就是隔離環境,並保證程序所有操作都在這個隔離環境內。
再舉一個簡單的例子理解一下重定向。如果程序要刪除c:\boot.ini,沙箱如何做到隔離,保證文件不被刪除呢。
- 沙箱hook ZwDeleteFile,函數是HOOK_ZwDeleteFile。
- 在HOOK_ZwDeleteFile中,講路徑c:\boot.ini加上一個前綴c:\sandbox\boot.ini,轉到沙箱內文件路徑。
- c:\sandbox\boot.ini不存在,會先把c:\boot.ini拷貝到沙箱內。
- 然後調用原始ZwDeleteFile,刪除c:\sandbox\boot.ini。
NTSTATUS HOOK_ZwDeleteFile(
POBJECT_ATTRIBUTES ObjectAttributes
) {
AddPrefix(ObjectAttributes->ObjectName, L"sandbox");//路徑加上沙箱前綴
if(!PathFileExists(ObjectAttributes->ObjectName.Buffer)) {
CopyFile();//拷貝進來
}
return OrigZwDeleteFile(ObjectAttributes);
}
如此就完成了一個簡單的刪除文件的隔離。
一個完備的沙箱一般需要虛擬化(隔離)處理這些東西:
- 文件
- 註冊表
- DCOM(RPCSS)
- 服務
- 其他如:窗口、類名、消息、token等。
- 進程、線程安全
- 全局鉤子、注入等防護
- 驅動加載
- …
下面對比較重要的幾個內容進行一下闡述。
文件重定向
保證沙箱內程序創建、修改、刪除、讀取等文件操作都在沙箱內,不會影響系統中真實的文件。
功能實現方式由很多,主要可以按下面分爲:
- 用戶態實現,hook ntdll.dll文件相關函數,然後路徑重定向
- 內核態實現,ssdt hook文件相關函數,或者minifilter等技術
用戶態實現較爲簡單,語義更清晰,但是強度不夠,有很多方式穿透ntdll.dll這層的文件操作函數,導致文件重定向(隔離)失敗,比如用戶態通過直接扇區讀寫來修改文件。
內核態如果使用minifilter來實現,強度基本就夠了。
不過sandboxie是在用戶態實現的。
註冊表重定向
保證沙箱內程序創建、修改、刪除、讀取等註冊表操作都在沙箱內,不會影響系統中真實的註冊表信息。
同樣,和文件重定向一樣,也可以在用戶態或內核態使用不同的技術完成,先不細說。
DCOM虛擬化
其實做DCOM虛擬化,最主要是爲了防止沙箱內程序逃逸。
所謂逃逸,就是沙箱無法控制沙箱內程序行爲,程序可以繞過沙箱,對系統造成破壞。
逃逸的方式有很多,對於支持DCOM的程序,就是其中一種。
舉個例子,在wordpad.exe(寫字板)插入對象-畫筆圖片,會啓動mspaint,可以看到mspaint是svchost.exe -k DcomLaunch的子進程。
什麼意思呢?
一般來說,如果在沙箱中啓動wordpad.exe,wordpad.exe的子進程默認也會進入沙箱,但通過DCOM啓動的mspaint就沒法拉入沙箱了,它不是wordpad.exe子進程。
所以,此時需要虛擬化DCOM,讓沙箱內啓動一個DCOM服務,這樣wordpad.exe直接和沙箱內DCOM通信,啓動子進程mspaint.exe,作爲沙箱內DCOM服務的子進程,自然也被拉入沙箱內。
如此做到組織逃逸。
這裏面涉及到很多技術細節,如RPC,後面細說。
服務虛擬化
其實服務也是逃逸沙箱的一種方式,但是也可以說如果沙箱不支持服務虛擬化,某些程序就不能在沙箱內正常工作。
所以不管出於那種原因考慮,沙箱都得實現服務虛擬化。
至於說服務也能逃逸是怎麼回事呢?
很簡單,程序通過服務API創建一個服務,然後啓動服務,對應服務程序就沒法被沙箱接管,逃出沙箱控制。
實現就是接管服務相關API了。
其他
剩下的其他內容,暫時也不分析了,如果有時間,後面繼續分享。
最後
前面說的內容都是如何完成虛擬化的東西,一個成熟的沙箱肯定還包括其他很多東西,比如多沙箱的支持、沙箱清理、安全瀏覽器等等,不過這些都不在我們重點討論範圍,畢竟這些只有在實際產品纔會考慮的問題,我們這裏只是研究沙箱核心相關的技術。
另外,針對每種重定向技術細節後續會慢慢詳細分享,敬請關注。
最後,再來一張簡單的沙箱框圖。
如果覺得內容還不錯,歡迎關注公衆號:漢客兒