高级恶意软件是如何逃避“僵化沙箱”的?

如今，用以对付高级恶意软件的沙箱技术已被恶意软件的作者利用。网络罪犯越来越多地使用这种技术来创造新技术来逃避这种防御。

沙箱规避并不是一种新现象，其开始于恶意软件开始认识到自己正在一个沙箱中，并且要“睡眠”到超时。但是安全分析工具在检测“睡眠”时已经更为高效，所以恶意软件的作者正在创造新策略，例如用来感染微软办公文档中的恶意软件变种。再如，有的恶意软件可以向内存写入近百亿次一个字节的随机数据。沙箱并不能够判定应用程序正在有意地拖延，因为它并没有真正地“睡眠”。此外，过多代码或垃圾代码迫使安全分析师花费更多的时间检查和分析恶意软件。

考虑到攻击者不断地更新其攻击技术，企业的恶意软件分析很有可能超越了传统的沙箱技术。企业在购买和部署沙箱技术时通常有三种典型的方法：

1. 作为一种独立的方案，对其它安全产品无依赖性。

2. 内建到基于网络的安全设备(如防火墙、IPS、UTM)中。

3. 内建到安全内容网关中，如Web或电子邮件网关。

虽然每种部署选择都有其自己的优点和缺点，但传统的沙箱技术一般都以同样的方式工作：析取恶意样本;在本地虚拟机中分析样本;生成报告。但其面临着类似的局限性：能够感知环境的高级恶意软件可以逃避沙箱;并且对于用以确认已渗透到网络的恶意软件的数据，沙箱也不使用;沙箱提供有限的修复功能。

这正是传统的沙箱技术需要改进的地方。为对付使用高级逃避策略的恶意软件，企业需要一种更为强健的恶意软件分析工具，该工具应是完整的威胁防御策略一部分的，并且在恶意软件逃过了最初的几道防线之后，能够扫描和确认恶意软件。这就要求恶意软件的分析方法应是完整的能够感知环境的，并能够进行安全分析。

完整性：恶意软件的分析必须是企业安全架构、防火墙、电子邮件和Web安全网关、网络和端点安全方案的一个完整组件。灵活的部署选择对于满足多种需求和包容现有的基础架构来说至关重要。

重视发生环境：发生环境对于理解真正的威胁在哪里并且加速响应极为重要。重视发生环境的恶意软件分析可以提供基于区域的信息以及垂直或历史分布的信息; 将全局的和本地的情报、损害行为指示、威胁情报提供和其它改进结合起来;交付情报;提供一个威胁分数，根据企业基础架构的具体特征反映恶意程度。

回顾安全：该功能可以使安全团队确认渗透到网络的恶意软件，看到文件在企业中的轨迹，隔离任何被感染的设备，并且在将设备连接到网络之前执行自动或手动的修复。回顾安全对于加速响应时间和实施检测非常关键。

恶意软件分析需要充分利用传统方法提供的技术，在此基础上进行革新和发展。

作者：赵长林

来源：51CTO