當今網絡安全界面臨的一個事實是,隻要網絡防禦者研究出一種發現惡意軟體的方法,網絡攻擊者就能很快地找到一種回避或繞過的方法。随着網絡攻擊者的數量日漸增多,在企業部署好保護後,攻擊者都能在很短的時間内找到一種突破或繞過的方法。
能夠感覺虛拟機的威脅能夠發現某些類型的惡意軟體分析環境,并且能夠積極地避免檢測或簡單地保持靜默。
好消息是,網絡安全界已經找到了分析惡意軟體的不同方法,每種方法都有其自身的缺點和優點。這意味着,雖然一種惡意軟體的分析方法可能暴露網絡,但是,以正确的順序實施多種分析方法可以使安全團隊更有可能防止惡意軟體滲透進入網絡,甚至對于以前并沒有被确認的惡意軟體樣本也能夠起作用。下文将讨論當今可用的惡意軟體分析技術,并且看一下,在連續實施時,這些惡意軟體分析技術如何使安全團隊能夠自動應對大多數威脅,如何釋放安全團隊的資源,進而積極地搜尋更進階的威脅。
但是,所有的惡意軟體分析技術都依賴于威脅情報資料流來訓練算法和模式,是以其性能是伴随着對更真實的資料的通路而改進的。隻有具備了關于新威脅手段和媒介、惡意軟體家族、惡意腳本、攻擊活動的穩定的資訊輸入,安全系統和團隊才能夠做出關于防禦網絡的更明智的決策。如果不能通路大量的威脅情報,網絡安全就成了一種猜測遊戲,一種必然會出現失敗的想法油然而生。
靜态分析
靜态分析作為惡意軟體分析環境中的第一道防線,它涉及到将一個未知的檔案分解為其組成部分進行檢查,而不必破壞檔案。通過靜态分析,系統可以判定一個檔案是否存在可能表明它是惡意軟體的任何潛在标記或模式,例如,嵌入可執行腳本或連接配接到一個未知或可疑的伺服器。靜态分析是一種快捷而準确的檢測已知惡意軟體(占據企業面臨的惡意軟體的絕大部分)及其變種的方法。
機器學習分析
有些分析系統使靜态分析達到了更高水準,增加了對機器學習的支援。機器學習涉及建立一個系統并使其自動化,進而可以将惡意行為分為不同的組或家族。這些組或家族可被用于确認未來的惡意内容,而無需人為地建構比對模式。如果可疑内容之間的相似性達到足夠程度,系統就可以自動地建立一種惡意軟體簽名,并在整個網絡中推送。随着越來越多的惡意軟體樣本被檢查和分類,系統自身減輕攻擊的能力也随着時間的推移而增長。在當今商品化的網絡攻擊中,即使是黑客新手也可以執行攻擊,而支援機器學習的分析是安全團隊每天必須處理各種威脅警告的最佳方法之一。
動态分析
如果靜态分析不能處理可疑檔案,就需要通過觸發可疑檔案,并觀察其相應的主機和網絡行為,進行更詳細地檢查。動态分析往往涉及将可疑樣本轉發到基于虛拟機的環境中,然後在一個受到嚴格控制的環境中(也稱為“沙盒”)激活它,進而可以觀察其行為并析取情報。在将可疑樣本部署在虛拟機環境中時,有些進階的可感覺虛拟機的惡意軟體可以檢測到虛拟機,是以,我們就需要無遮蔽的主機分析。動态分析尤其擅長發現惡意軟體中的零日漏洞利用行為。
由于靜态分析和機器學習分析都要求預先對被分析的惡意軟體在某種程度上有所熟悉,是以要使其确認一些真正新奇異常的惡意活動就非常困難了。動态分析的困難在于可擴充性,它要求大量的計算、存儲、自動化才能做好。也就是說,如果靜态分析和機器學習分析同時發生,那麼,二者就有可能已經确認并減輕了潛在惡意軟體的威脅。隻有在需要作為基于雲的自動系統的一部分時,利用動态分析才能有效地減輕大量人工努力的負擔。
作者:趙長林
來源:51cto