[原创]沙箱:概述

发布者:anhkgg
发布于:2020-01-31 11:00

作者:anhkgg
日期:2019年10月4日

 

最早接触沙箱,对它的印象就是:sandboxie

 

因为学的是安全相关专业,在网上下载东西非常谨慎,就算通过了杀毒软件扫描,但是也怕有后门或者其他东西,毕竟我也可以静态过掉杀软。

 

很多软件没有官网,各种下载站的东西真的是让人不放心。

 

所以在下载某些软件后,只要不影响功能,基本都会用sandboxie来运行软件。如果不行,则放到虚拟机里。

 

所以我对沙箱最初的概念就是:sandboxie,它是一个轻量级虚拟机,软件的操作都不会影响真正的系统,包括文件、注册表等等资源,可以放肆地想干嘛干嘛。

 

那时当然是不怎么知道sanboxie是怎么做的。

 

题外话:最近因为微软的关系,sanboxie已选宣布免费,后续还可能开源,感兴趣的可以关注关注。

沙箱

注:沙箱现在的概念非常杂,某些分析平台后端也叫沙箱,主要关注的行为获取,我这里说的不一样。

 

那么沙箱究竟是怎么做的呢?

 

一句话概括的话就是:沙箱内万物基于重定向

 

重定向,顾名思义,就是重新指定方向,也就是说沙箱能够做到让沙箱内软件操作的文件、注册表等路径重定向到其他位置(沙箱指定位置),这样软件本来想操作的资源就不会被访问或者操作,保证资源的安全性。

 

这也就是我使用沙箱跑一些不明软件的原因,万一软件被恶意修改过,存在病毒,想破坏系统关键文件,也就不可能了。

 

言归正传。

 

重定向我们还有个高级的词叫做“虚拟化”,也可以称作"隔离",说到底沙箱就是为程序提供一个虚拟化环境,也就是隔离环境,并保证程序所有操作都在这个隔离环境内。

 

再举一个简单的例子理解一下重定向。如果程序要删除c:\boot.ini,沙箱如何做到隔离,保证文件不被删除呢。

  1. 沙箱hook ZwDeleteFile,函数是HOOK_ZwDeleteFile。
  2. 在HOOK_ZwDeleteFile中,讲路径c:\boot.ini加上一个前缀c:\sandbox\boot.ini,转到沙箱内文件路径。
  3. c:\sandbox\boot.ini不存在,会先把c:\boot.ini拷贝到沙箱内。
  4. 然后调用原始ZwDeleteFile,删除c:\sandbox\boot.ini。
NTSTATUS HOOK_ZwDeleteFile(
  POBJECT_ATTRIBUTES ObjectAttributes
) {
   AddPrefix(ObjectAttributes->ObjectName, L"sandbox");//路径加上沙箱前缀
   if(!PathFileExists(ObjectAttributes->ObjectName.Buffer)) {
      CopyFile();//拷贝进来
   }
   return OrigZwDeleteFile(ObjectAttributes);
}

如此就完成了一个简单的删除文件的隔离。

 

一个完备的沙箱一般需要虚拟化(隔离)处理这些东西:

  1. 文件
  2. 注册表
  3. DCOM(RPCSS)
  4. 服务
  5. 其他如:窗口、类名、消息、token等。
  6. 进程、线程安全
  7. 全局钩子、注入等防护
  8. 驱动加载
  9. ...

下面对比较重要的几个内容进行一下阐述。

文件重定向

保证沙箱内程序创建、修改、删除、读取等文件操作都在沙箱内,不会影响系统中真实的文件。

 

功能实现方式由很多,主要可以按下面分为:

  1. 用户态实现,hook ntdll.dll文件相关函数,然后路径重定向
  2. 内核态实现,ssdt hook文件相关函数,或者minifilter等技术

用户态实现较为简单,语义更清晰,但是强度不够,有很多方式穿透ntdll.dll这层的文件操作函数,导致文件重定向(隔离)失败,比如用户态通过直接扇区读写来修改文件。

 

内核态如果使用minifilter来实现,强度基本就够了。

 

不过sandboxie是在用户态实现的。

注册表重定向

保证沙箱内程序创建、修改、删除、读取等注册表操作都在沙箱内,不会影响系统中真实的注册表信息。

 

同样,和文件重定向一样,也可以在用户态或内核态使用不同的技术完成,先不细说。

DCOM虚拟化

其实做DCOM虚拟化,最主要是为了防止沙箱内程序逃逸。

 

所谓逃逸,就是沙箱无法控制沙箱内程序行为,程序可以绕过沙箱,对系统造成破坏。

 

逃逸的方式有很多,对于支持DCOM的程序,就是其中一种。

 

举个例子,在wordpad.exe(写字板)插入对象-画笔图片,会启动mspaint,可以看到mspaint是svchost.exe -k DcomLaunch的子进程。

 

 

什么意思呢?

 

一般来说,如果在沙箱中启动wordpad.exe,wordpad.exe的子进程默认也会进入沙箱,但通过DCOM启动的mspaint就没法拉入沙箱了,它不是wordpad.exe子进程。

 

所以,此时需要虚拟化DCOM,让沙箱内启动一个DCOM服务,这样wordpad.exe直接和沙箱内DCOM通信,启动子进程mspaint.exe,作为沙箱内DCOM服务的子进程,自然也被拉入沙箱内。

 

如此做到组织逃逸。

 

这里面涉及到很多技术细节,如RPC,后面细说。

服务虚拟化

其实服务也是逃逸沙箱的一种方式,但是也可以说如果沙箱不支持服务虚拟化,某些程序就不能在沙箱内正常工作。

 

所以不管出于那种原因考虑,沙箱都得实现服务虚拟化。

 

至于说服务也能逃逸是怎么回事呢?

 

很简单,程序通过服务API创建一个服务,然后启动服务,对应服务程序就没法被沙箱接管,逃出沙箱控制。

 

实现就是接管服务相关API了。

其他

剩下的其他内容,暂时也不分析了,如果有时间,后面继续分享。

最后

前面说的内容都是如何完成虚拟化的东西,一个成熟的沙箱肯定还包括其他很多东西,比如多沙箱的支持、沙箱清理、安全浏览器等等,不过这些都不在我们重点讨论范围,毕竟这些只有在实际产品才会考虑的问题,我们这里只是研究沙箱核心相关的技术。

 

另外,针对每种重定向技术细节后续会慢慢详细分享,敬请关注。

 

最后,再来一张简单的沙箱框图。

 

 

如果觉得内容还不错,欢迎关注公众号:汉客儿



2020安全开发者峰会(2020 SDC)议题征集 中国.北京 7月!

最后于 2019-10-10 23:40 被Angelxf编辑 ,原因:

声明:该文观点仅代表作者本人,转载请注明来自看雪