如何通过防火墙进行沙箱和流量分析

Question

我读过帕洛阿尔托野火的产品。在那里说：

WildFire，它通过在虚拟环境中运行可执行文件并观察它们的行为来识别可执行文件中的恶意行为。

我没有用编程的方式分析这种恶意软件行为。

更新我的困惑是，防火墙如何通过将其放入虚拟小区并执行它来分析活动流量！例如，如果有人正在开发pdf漏洞。防火墙如何以编程方式进行分析？

Answer 1

要了解这类产品，首先需要识别恶意软件和其他类似软件的行为。通常，它们声称是其他的东西，并且在执行时开始执行不符合类似应用程序的标准行为的任务。

现代防火墙产品有跟踪由下载的可执行文件执行的活动的代码。

例如，您的防火墙检测到了一个会话，比如在您的系统上复制一个可执行文件的应用程序，该应用程序声称是一个媒体播放器。他们试图检测完整的L7，即识别正在使用的应用程序和复制的文件。然后他们在测试机器上运行接收到的文件。

防火墙还监视虚拟机的异常行为。例如接收到的播放器试图自己复制大量文件，或从磁盘读取其他信息等，或开始写入机器的文件系统，或启动打开套接字将数据发回某些位置。所有这些都不是由那种标准程序来完成的。该级别的产品具有一个通用的程序框架工作，它定义了对接收到的应用程序类型列表有效的操作类型。如果他们的行为超出了清单，就被称为可疑行为。

这些细节属于入侵检测(IDS/IPS)领域。

总之，这里的关键不仅仅是剖析实时流量。同时，在一个会话完成后，监视下载的程序所执行的活动。

最后，一旦识别的应用程序被恶意标记，就会使用手动和自动机制来识别此类通信量。这就是签名、连接模式、有效负载长度和其他因素出现的地方。Snort是定义此类规则的一个示例工具，还有许多其他的例子。

一旦您建立了一个标准，比如这个看起来像恶意软件的媒体播放器，在90%的情况下实际上有一个模式y，它们就会立即阻塞特定会话的通信量。

Answer 2

公司可能不会告诉你他们是如何做到的，但一个天真的猜测是，他们是如何使用防火墙首先将文件发送到虚拟机，然后测试这些文件，然后将其发送给最终用户。因此，防火墙本身很可能不会以编程方式分析任何东西。

更新

linux网络监控工具