当今网络安全界面临的一个事实是,只要网络防御者研究出一种发现恶意软件的方法,网络攻击者就能很快地找到一种回避或绕过的方法。随着网络攻击者的数量日渐增多,在企业部署好保护后,攻击者都能在很短的时间内找到一种突破或绕过的方法。
能够感知虚拟机的威胁能够发现某些类型的恶意软件分析环境,并且能够积极地避免检测或简单地保持静默。
好消息是,网络安全界已经找到了分析恶意软件的不同方法,每种方法都有其自身的缺点和优点。这意味着,虽然一种恶意软件的分析方法可能暴露网络,但是,以正确的顺序实施多种分析方法可以使安全团队更有可能防止恶意软件渗透进入网络,甚至对于以前并没有被确认的恶意软件样本也能够起作用。下文将讨论当今可用的恶意软件分析技术,并且看一下,在连续实施时,这些恶意软件分析技术如何使安全团队能够自动应对大多数威胁,如何释放安全团队的资源,从而积极地搜寻更高级的威胁。
但是,所有的恶意软件分析技术都依赖于威胁情报数据流来训练算法和模式,所以其性能是伴随着对更真实的数据的访问而改进的。只有具备了关于新威胁手段和媒介、恶意软件家族、恶意脚本、攻击活动的稳定的信息输入,安全系统和团队才能够做出关于防御网络的更明智的决策。如果不能访问大量的威胁情报,网络安全就成了一种猜测游戏,一种必然会出现失败的想法油然而生。
静态分析
静态分析作为恶意软件分析环境中的第一道防线,它涉及到将一个未知的文件分解为其组成部分进行检查,而不必破坏文件。通过静态分析,系统可以判定一个文件是否存在可能表明它是恶意软件的任何潜在标记或模式,例如,嵌入可执行脚本或连接到一个未知或可疑的服务器。静态分析是一种快捷而准确的检测已知恶意软件(占据企业面临的恶意软件的绝大部分)及其变种的方法。
机器学习分析
有些分析系统使静态分析达到了更高水平,增加了对机器学习的支持。机器学习涉及创建一个系统并使其自动化,从而可以将恶意行为分为不同的组或家族。这些组或家族可被用于确认未来的恶意内容,而无需人为地构建匹配模式。如果可疑内容之间的相似性达到足够程度,系统就可以自动地创建一种恶意软件签名,并在整个网络中推送。随着越来越多的恶意软件样本被检查和分类,系统自身减轻攻击的能力也随着时间的推移而增长。在当今商品化的网络攻击中,即使是黑客新手也可以执行攻击,而支持机器学习的分析是安全团队每天必须处理各种威胁警告的最佳方法之一。
动态分析
如果静态分析不能处理可疑文件,就需要通过触发可疑文件,并观察其相应的主机和网络行为,进行更详细地检查。动态分析往往涉及将可疑样本转发到基于虚拟机的环境中,然后在一个受到严格控制的环境中(也称为“沙盒”)激活它,从而可以观察其行为并析取情报。在将可疑样本部署在虚拟机环境中时,有些高级的可感知虚拟机的恶意软件可以检测到虚拟机,所以,我们就需要无遮蔽的主机分析。动态分析尤其擅长发现恶意软件中的零日漏洞利用行为。
由于静态分析和机器学习分析都要求预先对被分析的恶意软件在某种程度上有所熟悉,所以要使其确认一些真正新奇异常的恶意活动就非常困难了。动态分析的困难在于可扩展性,它要求大量的计算、存储、自动化才能做好。也就是说,如果静态分析和机器学习分析同时发生,那么,二者就有可能已经确认并减轻了潜在恶意软件的威胁。只有在需要作为基于云的自动系统的一部分时,利用动态分析才能有效地减轻大量人工努力的负担。
本文作者:赵长林
来源:51CTO