如今，用以對(duì)付高級(jí)惡意軟件的沙箱技術(shù)已被惡意軟件的作者利用。網(wǎng)絡(luò)罪犯越來(lái)越多地使用這種技術(shù)來(lái)創(chuàng)造新技術(shù)來(lái)逃避這種防御。

[[154030]]

沙箱規(guī)避并不是一種新現(xiàn)象，其開(kāi)始于惡意軟件開(kāi)始認(rèn)識(shí)到自己正在一個(gè)沙箱中，并且要“睡眠”到超時(shí)。但是安全分析工具在檢測(cè)“睡眠”時(shí)已經(jīng)更為高效，所以惡意軟件的作者正在創(chuàng)造新策略，例如用來(lái)感染微軟辦公文檔中的惡意軟件變種。再如，有的惡意軟件可以向內(nèi)存寫入近百億次一個(gè)字節(jié)的隨機(jī)數(shù)據(jù)。沙箱并不能夠判定應(yīng)用程序正在有意地拖延，因?yàn)樗](méi)有真正地“睡眠”。此外，過(guò)多代碼或垃圾代碼迫使安全分析師花費(fèi)更多的時(shí)間檢查和分析惡意軟件。

考慮到攻擊者不斷地更新其攻擊技術(shù)，企業(yè)的惡意軟件分析很有可能超越了傳統(tǒng)的沙箱技術(shù)。企業(yè)在購(gòu)買和部署沙箱技術(shù)時(shí)通常有三種典型的方法：

1. 作為一種獨(dú)立的方案，對(duì)其它安全產(chǎn)品無(wú)依賴性。

2. 內(nèi)建到基于網(wǎng)絡(luò)的安全設(shè)備(如防火墻、IPS、UTM)中。

3. 內(nèi)建到安全內(nèi)容網(wǎng)關(guān)中，如Web或電子郵件網(wǎng)關(guān)。

雖然每種部署選擇都有其自己的優(yōu)點(diǎn)和缺點(diǎn)，但傳統(tǒng)的沙箱技術(shù)一般都以同樣的方式工作：析取惡意樣本;在本地虛擬機(jī)中分析樣本;生成報(bào)告。但其面臨著類似的局限性：能夠感知環(huán)境的高級(jí)惡意軟件可以逃避沙箱;并且對(duì)于用以確認(rèn)已滲透到網(wǎng)絡(luò)的惡意軟件的數(shù)據(jù)，沙箱也不使用;沙箱提供有限的修復(fù)功能。

這正是傳統(tǒng)的沙箱技術(shù)需要改進(jìn)的地方。為對(duì)付使用高級(jí)逃避策略的惡意軟件，企業(yè)需要一種更為強(qiáng)健的惡意軟件分析工具，該工具應(yīng)是完整的威脅防御策略一部分的，并且在惡意軟件逃過(guò)了最初的幾道防線之后，能夠掃描和確認(rèn)惡意軟件。這就要求惡意軟件的分析方法應(yīng)是完整的能夠感知環(huán)境的，并能夠進(jìn)行安全分析。

完整性：惡意軟件的分析必須是企業(yè)安全架構(gòu)、防火墻、電子郵件和Web安全網(wǎng)關(guān)、網(wǎng)絡(luò)和端點(diǎn)安全方案的一個(gè)完整組件。靈活的部署選擇對(duì)于滿足多種需求和包容現(xiàn)有的基礎(chǔ)架構(gòu)來(lái)說(shuō)至關(guān)重要。

重視發(fā)生環(huán)境：發(fā)生環(huán)境對(duì)于理解真正的威脅在哪里并且加速響應(yīng)極為重要。重視發(fā)生環(huán)境的惡意軟件分析可以提供基于區(qū)域的信息以及垂直或歷史分布的信息; 將全局的和本地的情報(bào)、損害行為指示、威脅情報(bào)提供和其它改進(jìn)結(jié)合起來(lái);交付情報(bào);提供一個(gè)威脅分?jǐn)?shù)，根據(jù)企業(yè)基礎(chǔ)架構(gòu)的具體特征反映惡意程度。

回顧安全：該功能可以使安全團(tuán)隊(duì)確認(rèn)滲透到網(wǎng)絡(luò)的惡意軟件，看到文件在企業(yè)中的軌跡，隔離任何被感染的設(shè)備，并且在將設(shè)備連接到網(wǎng)絡(luò)之前執(zhí)行自動(dòng)或手動(dòng)的修復(fù)?；仡櫚踩珜?duì)于加速響應(yīng)時(shí)間和實(shí)施檢測(cè)非常關(guān)鍵。

惡意軟件分析需要充分利用傳統(tǒng)方法提供的技術(shù)，在此基礎(chǔ)上進(jìn)行革新和發(fā)展。