謹慎選擇惡意軟件分析環(huán)境

從技術方面看，網(wǎng)絡攻擊的環(huán)境如今可謂越來越好。由于有大量的常見攻擊工具，當今的惡意攻擊者并不需要在技術上知道如何開發(fā)惡意軟件。惡意攻擊者可以簡單地租用漏洞利用工具、僵尸網(wǎng)絡及其需要的其他攻擊工具，甚至利用所謂的“攻擊即服務（TaaS）”。除了工具的普及化，在惡意技術中，最受人關注的發(fā)展之一是能夠在虛擬機的分析環(huán)境中避免檢測的威脅。此處指的是能夠感知虛擬機的惡意軟件。

為發(fā)現(xiàn)未知的惡意軟件，安全供應商已經(jīng)創(chuàng)建了在虛擬環(huán)境中作惡的樣本，以觀察其行為，并且決定其是否惡意，這種技術常被稱為“沙盒”。攻擊者被激勵著逃避檢測，開發(fā)了反虛擬機技術從而使惡意軟件可以識別是否在虛擬機中運行并無法啟動，這意味著對系統(tǒng)或威脅的分析無法從樣本中作出決定或取得情報。使得反虛擬機分析問題更嚴重的一個事實是，由安全廠商創(chuàng)建的幾乎每個虛擬環(huán)境都是基于相同的常見的源代碼。這使得網(wǎng)絡攻擊者可以創(chuàng)建一種可以避免所有重要供應商的檢測，從而使得逃避檢測也成為了商品。因此，企業(yè)需要在選擇惡意軟件分析環(huán)境時做出一些努力。具體說來，企業(yè)可以詢問潛在的環(huán)境廠商如下問題：首先，企業(yè)要尋求哪種虛擬機逃避技術，如何應對之？其次，企業(yè)的環(huán)境是基于開源的虛擬化組件還是完全定制開發(fā)的？再次，企業(yè)是否能夠在硬件上觸發(fā)未知樣本，以此作為自動檢測工作的一部分？

對開源問題的回答尤其重要。在同樣一種技術被多種環(huán)境共享時，就可以使攻擊者編寫一套代碼，從而便捷地逃避檢測，而攻擊者僅針對一種環(huán)境開發(fā)代碼幾乎是得不償失的。

另一個關鍵的問題時，在真實的硬件系統(tǒng)上運行可疑樣本的可用性和可能性，這與在虛擬機環(huán)境中不同。雖然虛擬分析可能很高效，但即使最高級的環(huán)境也有可能被足夠聰明的攻擊者攻克。在樣本表現(xiàn)出逃避的證據(jù)時，這種功能必須自動運行，因為在硬件系統(tǒng)上人工觸發(fā)惡意軟件會給安全團隊帶來太高的運維負擔。

在不斷發(fā)展的網(wǎng)絡安全戰(zhàn)中，如果企業(yè)能夠明白惡意軟件的分析環(huán)境的局限性，就能夠使它成為極有價值的武器。根據(jù)上述標準來選擇環(huán)境，安全團隊不但可以更好地確認和分析惡意軟件，而且還可以處理更多的惡意軟件分析。