流行病研究機(jī)構(gòu)每年都會(huì)觀察全球的流感病毒，預(yù)測(cè)明年可能會(huì)出現(xiàn)哪種極度危險(xiǎn)的病毒，同時(shí)準(zhǔn)備好相應(yīng)疫苗以幫助人們減少患病的風(fēng)險(xiǎn)。實(shí)際上，這與信息安全研究人員研究惡意軟件并開(kāi)發(fā)相應(yīng)防護(hù)工具所做的工作十分類似。

[[126742]]

流行感冒病毒以無(wú)法預(yù)料的方式進(jìn)行變異，因此之前的疫苗只能提供有限的保護(hù)。防范惡意軟件的情況也是如此。

曾經(jīng)在識(shí)別威脅的手段中大發(fā)神威的沙盒技術(shù)，如今已經(jīng)被網(wǎng)絡(luò)犯罪分子所熟悉。他們正在使用高端精密的逃避技術(shù)來(lái)找到避免沙盒控制和檢測(cè)的方法。

控制惡意軟件：隔離是王道

[[126743]]

沙盒很像是醫(yī)學(xué)實(shí)驗(yàn)室里的細(xì)菌培養(yǎng)皿。通過(guò)培養(yǎng)皿，研究者可以在安全可控的環(huán)境下，觀察病毒的行為和其他潛在的有害可能。這種能夠識(shí)別新的惡意代碼或預(yù)先發(fā)現(xiàn)未知惡意代碼的能力在當(dāng)今的安全架構(gòu)中大行其道。

3種狡猾的沙盒逃避技術(shù)

至少到現(xiàn)在為止，安全人員在與網(wǎng)絡(luò)罪犯的斗爭(zhēng)中還處于上風(fēng)，后者則試圖扭轉(zhuǎn)這一戰(zhàn)局。雙方都使用了能夠想到的必要手段，包括使用彼此的工具和方法。下面介紹攻擊者逃避或企圖逃避沙盒檢測(cè)的幾種技術(shù)：

延時(shí)運(yùn)行。攻擊者暫緩惡意軟件的運(yùn)行，暫緩時(shí)間從幾分鐘到幾天，以隱藏其特征從而通過(guò)沙盒的檢測(cè)。雖然這種方法可以愚弄到某些沙盒技術(shù)，但已經(jīng)有一些沙盒技術(shù)可以強(qiáng)迫暫緩執(zhí)行的代碼即刻運(yùn)行并對(duì)其進(jìn)行檢測(cè)。

診斷沙盒。另一種狡猾的方法是檢測(cè)虛擬機(jī)的注冊(cè)鍵、運(yùn)行進(jìn)程、磁盤容量、運(yùn)程通信，或是其他可以識(shí)別沙盒環(huán)境的特征。當(dāng)然，沙盒也可以部署相關(guān)技術(shù)迷惑惡意軟件的檢測(cè)，但這都是短期的變通方法，沙盒最有效的檢測(cè)方法還是對(duì)靜態(tài)代碼的分析。

給計(jì)算機(jī)用戶把脈。很不幸，用戶依舊是安全鏈中最薄弱的一環(huán)，網(wǎng)絡(luò)罪犯則一如既往的利用這一點(diǎn)。這種攻擊方法先檢測(cè)操作計(jì)算機(jī)的用戶行為，然后再?zèng)Q定是否執(zhí)行。虛擬環(huán)境很難模擬頁(yè)面滾動(dòng)、鼠標(biāo)移動(dòng)或點(diǎn)擊等用戶的隨機(jī)行為，如果惡意軟件查覺(jué)到不正常的行為，它便會(huì)退出以避開(kāi)檢測(cè)。

最佳檢測(cè)過(guò)程：行為監(jiān)測(cè) + 深度靜態(tài)代碼分析

在沙盒中觀察軟件的可疑行為是一種有效的方法，然而當(dāng)惡意軟件實(shí)時(shí)地改變自身行為以逃避檢測(cè)時(shí)，這種方法就很難進(jìn)行精準(zhǔn)的判斷。因此，除了行為判定之外，還需要了解行為的歷史信息。安全廠商利用豐富的惡意軟件信息庫(kù)來(lái)甄別和跟蹤惡意軟件的種類，惡意的網(wǎng)站、郵件、IP地址等等信息都具有價(jià)值，這就是檢測(cè)過(guò)程的關(guān)鍵所在。

當(dāng)動(dòng)態(tài)沙盒技術(shù)無(wú)效時(shí)，就該完整的靜態(tài)代碼分析大顯身手了?，F(xiàn)在的黑客不只是對(duì)惡意代碼進(jìn)行壓縮，他們還會(huì)加密文本字符和網(wǎng)址。而完整靜態(tài)代碼分析不僅可以解開(kāi)代碼壓縮包、分解文件、通過(guò)語(yǔ)句分析執(zhí)行路徑，還可以發(fā)現(xiàn)偽裝的惡意網(wǎng)站和IP地址，比較代碼和功能函數(shù)的執(zhí)行，以識(shí)別沙盒中運(yùn)行的軟件與現(xiàn)有的惡意軟件家族的關(guān)系。

一個(gè)有效的靜態(tài)代碼分析模塊的關(guān)鍵是迅速識(shí)別所需要分析的代碼。黑客通常會(huì)改變代碼特征以逃避檢測(cè)，因此任何類型的靜態(tài)代碼分析都必需具備識(shí)別這種伎倆能力。

最優(yōu)解決方案：預(yù)防

正如我們看到的，攻擊與防守兩者之間的戰(zhàn)斗不斷升級(jí)。網(wǎng)絡(luò)犯罪手段越來(lái)越高端復(fù)雜，并試圖超越安全防護(hù)技術(shù)，比如沙盒檢測(cè)?；谛袨榈谋O(jiān)測(cè)雖然是一個(gè)好的方法，但解決方案的選擇卻不能止于一次簡(jiǎn)單的觀察。安全解決方案必需聯(lián)合行為監(jiān)測(cè)和高級(jí)靜態(tài)代碼分析，以準(zhǔn)確地檢測(cè)出新型的惡意軟件以及逃避沙盒檢測(cè)的技術(shù)。