对组织来说,选择一个云恶意软件分析工具的过程可能会让人困惑。这里将讲述如何判断哪一个分析工具最适合你的业务。
当一家公司被恶意软件感染后,第一步自然是先清除感染。为了要达到这个目的,恶意软件分析师必须先分析被感染的样本来确认这个恶意软件的影响以及它如何隐藏自己的方式。但是攻击者有许多方法可以隐藏这个恶意软件的存在,这让恶意软件分析师很难把各种可能性都查一遍。而一个云恶意软件分析服务可以经由自动化来加速恶意软件分析的过程。
市面上有许多云恶意软件分析工具及服务,任何能够连接到互联网的人都可以自由的使用它们。虽然在这几年内,许多业内的大型参与者都一一陨落,消失在用户的眼界之中。它们包括Aerie、CWSandbox、Malbox、VisualThreat、XecScan和Norman Sandbox等。
目前有的一些服务已经有段时间没更新了,但他们仍然可以工作并对恶意软件的分析有所帮助。
支持的文件格式和文档类型
多年来,恶意软件以许多不同的方法散布着,目标总是以接触更广泛的群体及感染尽可能多的电脑。恶意的有效载荷可能出现于各种文件格式和文档类型中,所以作为威胁检测过程的一部分,这些文件和文档都应该要经过分析来找出是否存在威胁。比如说,一个PDF文档中的恶意有效负载,只能被某个支持PDF的恶意软件分析服务分解并对每一部分进行单独分析才能找出来。一个PDF文档可以包含恶意的JavaScript代码,所以每当PDF分解器找到一个 JavaScript的元素时,它必须要用一个JavaScript分析器来扫描PDF文档,才能确定这个JavaScript是否恶意。一个PDF文件里的JavaScript有可能是无害的,那这个服务就不应该自动把这个文档标识成恶意的。如果标识为恶意的话,那这个分析就被视为假阳性。
攻击者常常将恶意负载藏匿于广泛应用的文件格式和文档类型,不只是PDF而已。恶意的有效负载可以被插入到程序的任意输入数据中,然后被程序解析并使用。也因为如此,云恶意软件分析服务不能分析任何一种的输入数据,而只能限于分析那些恶意软件用来散播恶意有效负载的文件格式和文档类型。增加某些鲜少被恶意软件所使用的输入数据格式的支持不会很有帮助,但增加那些经常被恶意软件样本广泛使用的条目,例如Windows可执行文件的支持,将会有很大的好处。
每家云自动恶意软件分析服务都是专注在提供一个为广泛的文件格式和文档类型所适用的分析平台。下表列出了每家云恶意软件分析服务所支持的所有文件格式和文档类型。每一行对应的是一种被恶意软件用来注入恶意有效负载的文件格式或文档类型,而每一列代表的是不同的云恶意软件分析服务。
取决于被分析的文件类型,这个表格可以用做寻找支持某种特定文件的分析服务的参考。比如说,如果某个组织的一位安全专家想要分析一个Windows可执行文件,他可以参考这个图表并发现可以使用服务A、C、J、M、TE、TT或V来分析。当有多种服务可以使用时,他可以全部使用一遍,并决定哪一个最适合他的组织。通常来说,多种服务可以被同时使用,因为某些服务可以辨认出其他服务无法做到的有关恶意软件样本的信息,反之亦然。
选择合适的云恶意软件分析工具
今天市面上有各式各样的云恶意软件分析工具和服务被广泛使用。每种服务都只支持所有能被注入恶意代码的文件格式和文档类型中的一部分。正因如此,取决于要分析的文件类型,我们应该使用能够最好的支持相应的文件格式或文档类型的服务。在许多用例中,攻击者可以恶意有效负载注入一个不被任何一个上面提到的服务所支持的文件格式或文档类型。但这么做所带来的唯一的问题是,该攻击者无法接触到更广泛的群体,因为这种文件格式或文档类型很可能在全世界并没有许多人使用。鉴于这个原因,攻击者主要会专注在被百万人所使用的文件格式和文档类型上,这让他们以最少的代价获得对尽可能多的电脑的访问权限。
即便某个文件格式和文档类型是被某个恶意软件分析服务所支持,这并不代表它就可以被正确的分析。有些恶意软件样本使用了反侦查技术,可以辨认出恶意有效负载是否是在一个自动恶意软件分析环境里执行,在这种状况下它将会马上终止。云恶意软件分析工具应该仅被当作一种加速分析过程的途径来使用,而分析的过程应该要在一个有经验的恶意软件分析师的监督下进行。
原文链接:http://www.searchcloudcomputing.com.cn/showcontent_89470.htm