哪款云惡意軟件分析工具最適合你?
對組織來說,選擇一個云惡意軟件分析工具的過程可能會讓人困惑。這里將講述如何判斷哪一個分析工具最適合你的業務。
當一家公司被惡意軟件感染后,第一步自然是先清除感染。為了要達到這個目的,惡意軟件分析師必須先分析被感染的樣本來確認這個惡意軟件的影響以及它如何隱藏自己的方式。但是攻擊者有許多方法可以隱藏這個惡意軟件的存在,這讓惡意軟件分析師很難把各種可能性都查一遍。而一個云惡意軟件分析服務可以經由自動化來加速惡意軟件分析的過程。
市面上有許多云惡意軟件分析工具及服務,任何能夠連接到互聯網的人都可以自由的使用它們。雖然在這幾年內,許多業內的大型參與者都一一隕落,消失在用戶的眼界之中。它們包括Aerie、CWSandbox、Malbox、VisualThreat、XecScan和Norman Sandbox等。
目前有的一些服務已經有段時間沒更新了,但他們仍然可以工作并對惡意軟件的分析有所幫助。
支持的文件格式和文檔類型
多年來,惡意軟件以許多不同的方法散布著,目標總是以接觸更廣泛的群體及感染盡可能多的電腦。惡意的有效載荷可能出現于各種文件格式和文檔類型中,所以作為威脅檢測過程的一部分,這些文件和文檔都應該要經過分析來找出是否存在威脅。比如說,一個PDF文檔中的惡意有效負載,只能被某個支持PDF的惡意軟件分析服務分解并對每一部分進行單獨分析才能找出來。一個PDF文檔可以包含惡意的JavaScript代碼,所以每當PDF分解器找到一個JavaScript的元素時,它必須要用一個JavaScript分析器來掃描PDF文檔,才能確定這個JavaScript是否惡意。一個PDF文件里的JavaScript有可能是無害的,那這個服務就不應該自動把這個文檔標識成惡意的。如果標識為惡意的話,那這個分析就被視為假陽性。
攻擊者常常將惡意負載藏匿于廣泛應用的文件格式和文檔類型,不只是PDF而已。惡意的有效負載可以被插入到程序的任意輸入數據中,然后被程序解析并使用。也因為如此,云惡意軟件分析服務不能分析任何一種的輸入數據,而只能限于分析那些惡意軟件用來散播惡意有效負載的文件格式和文檔類型。增加某些鮮少被惡意軟件所使用的輸入數據格式的支持不會很有幫助,但增加那些經常被惡意軟件樣本廣泛使用的條目,例如Windows可執行文件的支持,將會有很大的好處。
每家云自動惡意軟件分析服務都是專注在提供一個為廣泛的文件格式和文檔類型所適用的分析平臺。下表列出了每家云惡意軟件分析服務所支持的所有文件格式和文檔類型。每一行對應的是一種被惡意軟件用來注入惡意有效負載的文件格式或文檔類型,而每一列代表的是不同的云惡意軟件分析服務。
取決于被分析的文件類型,這個表格可以用做尋找支持某種特定文件的分析服務的參考。比如說,如果某個組織的一位安全專家想要分析一個Windows可執行文件,他可以參考這個圖表并發現可以使用服務A、C、J、M、TE、TT或V來分析。當有多種服務可以使用時,他可以全部使用一遍,并決定哪一個最適合他的組織。通常來說,多種服務可以被同時使用,因為某些服務可以辨認出其他服務無法做到的有關惡意軟件樣本的信息,反之亦然。
選擇合適的云惡意軟件分析工具
今天市面上有各式各樣的云惡意軟件分析工具和服務被廣泛使用。每種服務都只支持所有能被注入惡意代碼的文件格式和文檔類型中的一部分。正因如此,取決于要分析的文件類型,我們應該使用能夠最好的支持相應的文件格式或文檔類型的服務。在許多用例中,攻擊者可以惡意有效負載注入一個不被任何一個上面提到的服務所支持的文件格式或文檔類型。但這么做所帶來的唯一的問題是,該攻擊者無法接觸到更廣泛的群體,因為這種文件格式或文檔類型很可能在全世界并沒有許多人使用。鑒于這個原因,攻擊者主要會專注在被百萬人所使用的文件格式和文檔類型上,這讓他們以最少的代價獲得對盡可能多的電腦的訪問權限。
即便某個文件格式和文檔類型是被某個惡意軟件分析服務所支持,這并不代表它就可以被正確的分析。有些惡意軟件樣本使用了反偵查技術,可以辨認出惡意有效負載是否是在一個自動惡意軟件分析環境里執行,在這種狀況下它將會馬上終止。云惡意軟件分析工具應該僅被當作一種加速分析過程的途徑來使用,而分析的過程應該要在一個有經驗的惡意軟件分析師的監督下進行。
