對(duì)組織來說,選擇一個(gè)云惡意軟件分析工具的過程可能會(huì)讓人困惑。這里將講述如何判斷哪一個(gè)分析工具最適合你的業(yè)務(wù)。
當(dāng)一家公司被惡意軟件感染后,第一步自然是先清除感染。為了要達(dá)到這個(gè)目的,惡意軟件分析師必須先分析被感染的樣本來確認(rèn)這個(gè)惡意軟件的影響以及它如何隱藏自己的方式。但是攻擊者有許多方法可以隱藏這個(gè)惡意軟件的存在,這讓惡意軟件分析師很難把各種可能性都查一遍。而一個(gè)云惡意軟件分析服務(wù)可以經(jīng)由自動(dòng)化來加速惡意軟件分析的過程。
市面上有許多云惡意軟件分析工具及服務(wù),任何能夠連接到互聯(lián)網(wǎng)的人都可以自由的使用它們。雖然在這幾年內(nèi),許多業(yè)內(nèi)的大型參與者都一一隕落,消失在用戶的眼界之中。它們包括Aerie、CWSandbox、Malbox、VisualThreat、XecScan和Norman Sandbox等。
目前有的一些服務(wù)已經(jīng)有段時(shí)間沒更新了,但他們?nèi)匀豢梢怨ぷ鞑?duì)惡意軟件的分析有所幫助。
支持的文件格式和文檔類型
多年來,惡意軟件以許多不同的方法散布著,目標(biāo)總是以接觸更廣泛的群體及感染盡可能多的電腦。惡意的有效載荷可能出現(xiàn)于各種文件格式和文檔類型中,所以作為威脅檢測(cè)過程的一部分,這些文件和文檔都應(yīng)該要經(jīng)過分析來找出是否存在威脅。比如說,一個(gè)PDF文檔中的惡意有效負(fù)載,只能被某個(gè)支持PDF的惡意軟件分析服務(wù)分解并對(duì)每一部分進(jìn)行單獨(dú)分析才能找出來。一個(gè)PDF文檔可以包含惡意的JavaScript代碼,所以每當(dāng)PDF分解器找到一個(gè) JavaScript的元素時(shí),它必須要用一個(gè)JavaScript分析器來掃描PDF文檔,才能確定這個(gè)JavaScript是否惡意。一個(gè)PDF文件里的JavaScript有可能是無害的,那這個(gè)服務(wù)就不應(yīng)該自動(dòng)把這個(gè)文檔標(biāo)識(shí)成惡意的。如果標(biāo)識(shí)為惡意的話,那這個(gè)分析就被視為假陽(yáng)性。
攻擊者常常將惡意負(fù)載藏匿于廣泛應(yīng)用的文件格式和文檔類型,不只是PDF而已。惡意的有效負(fù)載可以被插入到程序的任意輸入數(shù)據(jù)中,然后被程序解析并使用。也因?yàn)槿绱耍茞阂廛浖治龇?wù)不能分析任何一種的輸入數(shù)據(jù),而只能限于分析那些惡意軟件用來散播惡意有效負(fù)載的文件格式和文檔類型。增加某些鮮少被惡意軟件所使用的輸入數(shù)據(jù)格式的支持不會(huì)很有幫助,但增加那些經(jīng)常被惡意軟件樣本廣泛使用的條目,例如Windows可執(zhí)行文件的支持,將會(huì)有很大的好處。
每家云自動(dòng)惡意軟件分析服務(wù)都是專注在提供一個(gè)為廣泛的文件格式和文檔類型所適用的分析平臺(tái)。下表列出了每家云惡意軟件分析服務(wù)所支持的所有文件格式和文檔類型。每一行對(duì)應(yīng)的是一種被惡意軟件用來注入惡意有效負(fù)載的文件格式或文檔類型,而每一列代表的是不同的云惡意軟件分析服務(wù)。
取決于被分析的文件類型,這個(gè)表格可以用做尋找支持某種特定文件的分析服務(wù)的參考。比如說,如果某個(gè)組織的一位安全專家想要分析一個(gè)Windows可執(zhí)行文件,他可以參考這個(gè)圖表并發(fā)現(xiàn)可以使用服務(wù)A、C、J、M、TE、TT或V來分析。當(dāng)有多種服務(wù)可以使用時(shí),他可以全部使用一遍,并決定哪一個(gè)最適合他的組織。通常來說,多種服務(wù)可以被同時(shí)使用,因?yàn)槟承┓?wù)可以辨認(rèn)出其他服務(wù)無法做到的有關(guān)惡意軟件樣本的信息,反之亦然。
選擇合適的云惡意軟件分析工具
今天市面上有各式各樣的云惡意軟件分析工具和服務(wù)被廣泛使用。每種服務(wù)都只支持所有能被注入惡意代碼的文件格式和文檔類型中的一部分。正因如此,取決于要分析的文件類型,我們應(yīng)該使用能夠最好的支持相應(yīng)的文件格式或文檔類型的服務(wù)。在許多用例中,攻擊者可以惡意有效負(fù)載注入一個(gè)不被任何一個(gè)上面提到的服務(wù)所支持的文件格式或文檔類型。但這么做所帶來的唯一的問題是,該攻擊者無法接觸到更廣泛的群體,因?yàn)檫@種文件格式或文檔類型很可能在全世界并沒有許多人使用。鑒于這個(gè)原因,攻擊者主要會(huì)專注在被百萬人所使用的文件格式和文檔類型上,這讓他們以最少的代價(jià)獲得對(duì)盡可能多的電腦的訪問權(quán)限。
即便某個(gè)文件格式和文檔類型是被某個(gè)惡意軟件分析服務(wù)所支持,這并不代表它就可以被正確的分析。有些惡意軟件樣本使用了反偵查技術(shù),可以辨認(rèn)出惡意有效負(fù)載是否是在一個(gè)自動(dòng)惡意軟件分析環(huán)境里執(zhí)行,在這種狀況下它將會(huì)馬上終止。云惡意軟件分析工具應(yīng)該僅被當(dāng)作一種加速分析過程的途徑來使用,而分析的過程應(yīng)該要在一個(gè)有經(jīng)驗(yàn)的惡意軟件分析師的監(jiān)督下進(jìn)行。