對組織來說，選擇一個云惡意軟件分析工具的過程可能會讓人困惑。這里將講述如何判斷哪一個分析工具最適合你的業(yè)務(wù)。

[[137060]]

當(dāng)一家公司被惡意軟件感染后，第一步自然是先清除感染。為了要達(dá)到這個目的，惡意軟件分析師必須先分析被感染的樣本來確認(rèn)這個惡意軟件的影響以及它如何隱藏自己的方式。但是攻擊者有許多方法可以隱藏這個惡意軟件的存在，這讓惡意軟件分析師很難把各種可能性都查一遍。而一個云惡意軟件分析服務(wù)可以經(jīng)由自動化來加速惡意軟件分析的過程。

市面上有許多云惡意軟件分析工具及服務(wù)，任何能夠連接到互聯(lián)網(wǎng)的人都可以自由的使用它們。雖然在這幾年內(nèi)，許多業(yè)內(nèi)的大型參與者都一一隕落，消失在用戶的眼界之中。它們包括Aerie、CWSandbox、Malbox、VisualThreat、XecScan和Norman Sandbox等。

目前有的一些服務(wù)已經(jīng)有段時間沒更新了，但他們?nèi)匀豢梢怨ぷ鞑阂廛浖姆治鲇兴鶐椭?/p>

支持的文件格式和文檔類型

多年來，惡意軟件以許多不同的方法散布著，目標(biāo)總是以接觸更廣泛的群體及感染盡可能多的電腦。惡意的有效載荷可能出現(xiàn)于各種文件格式和文檔類型中，所以作為威脅檢測過程的一部分，這些文件和文檔都應(yīng)該要經(jīng)過分析來找出是否存在威脅。比如說，一個PDF文檔中的惡意有效負(fù)載，只能被某個支持PDF的惡意軟件分析服務(wù)分解并對每一部分進(jìn)行單獨分析才能找出來。一個PDF文檔可以包含惡意的JavaScript代碼，所以每當(dāng)PDF分解器找到一個JavaScript的元素時，它必須要用一個JavaScript分析器來掃描PDF文檔，才能確定這個JavaScript是否惡意。一個PDF文件里的JavaScript有可能是無害的，那這個服務(wù)就不應(yīng)該自動把這個文檔標(biāo)識成惡意的。如果標(biāo)識為惡意的話，那這個分析就被視為假陽性。

攻擊者常常將惡意負(fù)載藏匿于廣泛應(yīng)用的文件格式和文檔類型，不只是PDF而已。惡意的有效負(fù)載可以被插入到程序的任意輸入數(shù)據(jù)中，然后被程序解析并使用。也因為如此，云惡意軟件分析服務(wù)不能分析任何一種的輸入數(shù)據(jù)，而只能限于分析那些惡意軟件用來散播惡意有效負(fù)載的文件格式和文檔類型。增加某些鮮少被惡意軟件所使用的輸入數(shù)據(jù)格式的支持不會很有幫助，但增加那些經(jīng)常被惡意軟件樣本廣泛使用的條目，例如Windows可執(zhí)行文件的支持，將會有很大的好處。

每家云自動惡意軟件分析服務(wù)都是專注在提供一個為廣泛的文件格式和文檔類型所適用的分析平臺。下表列出了每家云惡意軟件分析服務(wù)所支持的所有文件格式和文檔類型。每一行對應(yīng)的是一種被惡意軟件用來注入惡意有效負(fù)載的文件格式或文檔類型，而每一列代表的是不同的云惡意軟件分析服務(wù)。

取決于被分析的文件類型，這個表格可以用做尋找支持某種特定文件的分析服務(wù)的參考。比如說，如果某個組織的一位安全專家想要分析一個Windows可執(zhí)行文件，他可以參考這個圖表并發(fā)現(xiàn)可以使用服務(wù)A、C、J、M、TE、TT或V來分析。當(dāng)有多種服務(wù)可以使用時，他可以全部使用一遍，并決定哪一個最適合他的組織。通常來說，多種服務(wù)可以被同時使用，因為某些服務(wù)可以辨認(rèn)出其他服務(wù)無法做到的有關(guān)惡意軟件樣本的信息，反之亦然。

選擇合適的云惡意軟件分析工具

今天市面上有各式各樣的云惡意軟件分析工具和服務(wù)被廣泛使用。每種服務(wù)都只支持所有能被注入惡意代碼的文件格式和文檔類型中的一部分。正因如此，取決于要分析的文件類型，我們應(yīng)該使用能夠最好的支持相應(yīng)的文件格式或文檔類型的服務(wù)。在許多用例中，攻擊者可以惡意有效負(fù)載注入一個不被任何一個上面提到的服務(wù)所支持的文件格式或文檔類型。但這么做所帶來的唯一的問題是，該攻擊者無法接觸到更廣泛的群體，因為這種文件格式或文檔類型很可能在全世界并沒有許多人使用。鑒于這個原因，攻擊者主要會專注在被百萬人所使用的文件格式和文檔類型上，這讓他們以最少的代價獲得對盡可能多的電腦的訪問權(quán)限。

即便某個文件格式和文檔類型是被某個惡意軟件分析服務(wù)所支持，這并不代表它就可以被正確的分析。有些惡意軟件樣本使用了反偵查技術(shù)，可以辨認(rèn)出惡意有效負(fù)載是否是在一個自動惡意軟件分析環(huán)境里執(zhí)行，在這種狀況下它將會馬上終止。云惡意軟件分析工具應(yīng)該僅被當(dāng)作一種加速分析過程的途徑來使用，而分析的過程應(yīng)該要在一個有經(jīng)驗的惡意軟件分析師的監(jiān)督下進(jìn)行。