谨慎选择恶意软件分析环境

从技术方面看，网络攻击的环境如今可谓越来越好。由于有大量的常见攻击工具，当今的恶意攻击者并不需要在技术上知道如何开发恶意软件。恶意攻击者可以简单地租用漏洞利用工具、僵尸网络及其需要的其他攻击工具，甚至利用所谓的“攻击即服务（TaaS）”。除了工具的普及化，在恶意技术中，最受人关注的发展之一是能够在虚拟机的分析环境中避免检测的威胁。此处指的是能够感知虚拟机的恶意软件。

为发现未知的恶意软件，安全供应商已经创建了在虚拟环境中作恶的样本，以观察其行为，并且决定其是否恶意，这种技术常被称为“沙盒”。攻击者被激励着逃避检测，开发了反虚拟机技术从而使恶意软件可以识别是否在虚拟机中运行并无法启动，这意味着对系统或威胁的分析无法从样本中作出决定或取得情报。使得反虚拟机分析问题更严重的一个事实是，由安全厂商创建的几乎每个虚拟环境都是基于相同的常见的源代码。这使得网络攻击者可以创建一种可以避免所有重要供应商的检测，从而使得逃避检测也成为了商品。因此，企业需要在选择恶意软件分析环境时做出一些努力。具体说来，企业可以询问潜在的环境厂商如下问题：首先，企业要寻求哪种虚拟机逃避技术，如何应对之？其次，企业的环境是基于开源的虚拟化组件还是完全定制开发的？再次，企业是否能够在硬件上触发未知样本，以此作为自动检测工作的一部分？

对开源问题的回答尤其重要。在同样一种技术被多种环境共享时，就可以使攻击者编写一套代码，从而便捷地逃避检测，而攻击者仅针对一种环境开发代码几乎是得不偿失的。

另一个关键的问题时，在真实的硬件系统上运行可疑样本的可用性和可能性，这与在虚拟机环境中不同。虽然虚拟分析可能很高效，但即使最高级的环境也有可能被足够聪明的攻击者攻克。在样本表现出逃避的证据时，这种功能必须自动运行，因为在硬件系统上人工触发恶意软件会给安全团队带来太高的运维负担。

在不断发展的网络安全战中，如果企业能够明白恶意软件的分析环境的局限性，就能够使它成为极有价值的武器。根据上述标准来选择环境，安全团队不但可以更好地确认和分析恶意软件，而且还可以处理更多的恶意软件分析。