多くの人が「ファイアウォール」という用語を聞けば火災安全関係であると認識します。 ですが、「ファイアウォール」が火災安全だけでなく、別の部分のセキュリティの名前として使われていることを知っている人はほとんどいません。

砂が入ったバケツや砂場、防火金庫のような、燃えているものを消火することができ、また何が起きたのかを突き止めることができます。

サンドボックスと呼ばれる流行のセキュリティ機能も同様の目的で作られました。アプリケーションに悪意のあるプロパティが存在する（または存在しない）場合でも、そのアプリケーションが他のシステムに何らかの影響を与えないように設計された環境に置かれます。

サンドボックスは、隔離された環境でファイルを調べたり、アプリケーションを起動したりするために使用することができます。 2番目のオプションは、多くの場合、ユーザーが安全にオンライン取引を実行できるようにする安全なブラウザに実装されています。

サンドボックスの設計者は当然、すべての実行可能ファイルを完全に分離して、すべてのユーザーデータに完全にアクセスできるようにします。 しかし、サンドボックスはシステムリソースも消費するため、システムのフットプリントやプログラムの分離度が異なるさまざまなサンドボックス設計が存在します。

最も信頼できるものは仮想化を使用しています。 各ファイルがこの目的のために特別に起動された別々の仮想マシンで開かることが理想的です。 これらは最後の格納容器に似ています。

ただし、この場合、ファイルごとに個別の仮想マシンを実行する必要があります。 それ以外の場合は、ファイルはテスト環境と別のコンピューターとの間で転送される必要があります。

また、システムリソースの大部分を仮想マシンに割り当てる必要があります。 仮想環境でマルウェアをテストするには、少なくともMicrosoft Officeがインストールされている必要がありますが、商用ライセンスはお金がかかります。

別のアプローチでは、ほとんどのトロイの木馬が動作するためにファイルを必要とするという仮定に基づいています。 そのため、彼らがファイルにアクセスしようとする場合は、毎回、彼らにそのコピーを渡しましょう！

しかし、前の場合と同様に、ここではテスト対象のアプリケーションに必要なデータをコピーするためにリソースを割り当てる必要があります。 もちろん、最近のハードドライブは、大容量の記憶容量を持っていますが、アプリケーションがディスク全体を検索してすべてのデータを暗号化しようとすると、すべてのファイルを複製する必要があります。 そして、そうなった場合、ディスクスペースのすべてを使ってしまうかもしれません。

結局、複数のファイルを別々のサンドボックスで同時にテストされます。

そして最大の問題は、分離が完全ではないことです。 したがって、マルウェアが他のシステムコンポーネントにアクセスする必要がある場合、または、特別なハッキング技術を使用する場合は、サンドボックスの境界を越えて侵入する可能性があります。

では、まったく分離せずにアプリケーションの動作を観察するだけにした場合、どうなるでしょうか。

まあ、これはDr.Webの予防的保護によるもののようです。

しかし、マルウェアがサンドボックスから侵入する危険性だけが問題ではありません。 Webページをロードするためにダウンロードする必要があるファイルはいくつでしょうか。また、 どのようなデータが自動的にハードドライブに書き込まれるでしょうか？

ユーザーがダウンロードするファイルは氷山の一角にすぎません。 一方、トロイの木馬は追加のペイロードをダウンロードすることが知られています。 それでは、どのように変更を制御する必要があるファイルを追跡することができるでしょうか？また、それらすべてを監視する必要があるでしょうか。 これを達成するのに十分なリソースがあることは決してありませんし、それにも多くの時間がかかります。では、サンドボックスに配置する必要があるファイルを自動的に選択するフィルタを作成できるでしょうか？

そしてもう一つの問題には、おそらく最も重大な問題になります。 市販されているすべてのサンドボックスはよく知られています。 そのため、攻撃者は自分のマルウェアがサンドボックスで実行されているかどうかを判断する機能を簡単に提供できます。

このトロイの木馬は、悪意のある意図を明示することなく特定の期間アイドル状態を維持し、解放された後に活動を開始します。

#Dr.Web_vxCube #technologies #anti-virus