無懼黑客攻擊殺毒軟體 360全球首創沙箱掃描新模式

系統有漏洞，殺毒軟體可以防；如果殺毒軟體有漏洞，誰來防呢？對此，谷歌安全團隊多次呼籲殺毒廠商為引擎加入沙箱保護。但是由於沙箱和殺毒軟體自身功能、架構的衝突，這已成為網路安全行業共同面臨的世界級難題。

2018年1月，中國安全廠商360發布重磅消息，全球首家成功實現了殺毒掃描的沙箱保護——360殺毒和安全衛士的最新版本，為QEX安全引擎加入沙箱隔離防護機制。當用戶下載文件進行安全檢測時，QEX引擎對文件的掃描過程會在沙箱中執行，可以避免黑客利用殺毒軟體漏洞實施攻擊。這是360在首創雲查殺、雲安全主動防禦、人工智慧引擎等技術變革之後，再次領先業界的嘗試，也是360對安全創新的前瞻成果。

高風險：殺毒軟體漏洞可能導致查殺過程變為惡意攻擊入口

作為計算機的守護者，殺毒軟體能夠清除一切已知的威脅計算機安全的木馬、病毒等有害程序，但因為殺毒軟體需要分析所有系統上的複雜文件，所以本身也成為很容易受攻擊的攻擊面。

在2015年的POC安全大會上，360 Vulcan Team首次披露了一種針對微軟自帶的殺毒軟體Windows Defender掃描引擎的攻擊形式，利用Windows Defender的安全漏洞，攻擊者能夠突破Edge瀏覽器並攻破Win10系統，這也是歷史上首次公開的利用殺毒引擎漏洞攻擊，突破系統許可權限制的案例。

此後的2017年，Google Project Zero也披露了多個Windows Defender掃描引擎的安全漏洞，一旦殺毒軟體的安全漏洞被黑客掌握，只要用戶下載文件並進行安全掃描，黑客就能通過這些漏洞控制用戶電腦。

殺毒軟體作為安全守護者，具有比普通軟體更高的系統許可權，下載掃描作為安全軟體查殺惡意程序的必要步驟，一旦這一流程被攻擊，相當於直接給了攻擊者打開電腦中樞系統的鑰匙。

高難度：突破架構難題 ，360首家將掃描引擎放入沙箱

為了防止更多利用殺軟自身問題攻擊系統的威脅出現，谷歌安全團隊的研究人員認為，殺毒軟體應當學習計算機與瀏覽器等程序，將掃描引擎放入沙箱。沙箱是一種限制程序行為的虛擬執行環境，計算機與瀏覽器等程序的操作都會在這個虛擬的程序中運行，在其內部運行的程序並不能對硬碟產生永久性的影響，可用以測試不受信任的應用程序或上網行為。

但是將掃描引擎加入沙箱與自身功能、架構有所衝突，實現難度極高，此前從未有殺毒軟體成功實現掃描引擎放入沙箱。

360獨創的QEX安全引擎，能夠基於文件格式解析、使用動靜態特徵匹配/動靜態啟髮式檢測演算法，有效準確識別腳本、文檔等格式的惡意文件。QEX引擎的掃描過程放入沙箱，相當於把最容易被攻擊的文件下載檢測環節保護起來，既保證了系統的穩定性，又實現了對沙箱的有效使用，從而避免毒軟體自身變為黑客攻擊的源頭。

360此次實現殺毒掃描引擎與沙箱機制的結合，解決了殺毒軟體自身的安全問題，降低了利用自身問題攻擊系統的幾率，開創了殺毒引擎加入安全保護機制的先例，實現了全球範圍內的歷史性突破。