从技术角度来讲,现在是进入网络攻击业务的最好时机。地下市场提供的常见攻击工具让犯罪分子不需要掌握开发恶意软件的技术知识就能够实施攻击,他们可以租赁利用工具包、僵尸网络等,甚至是通过攻击即服务模式雇佣某个人代为实施攻击。除此之外,恶意技术开发最重要的问题之一就是开发出能够躲避虚拟机分析环境检测的恶意软件。
攻击者已经开发出反虚拟机分析的技术:当恶意软件在虚拟机上执行时就会被识别出来而且停止执行,这样系统或威胁分析就无法做出判断或者从样本中提取出情报。
让反虚拟机分析问题更加复杂的是,几乎每个由安全厂商创建的虚拟环境都是基于同样的开源代码。这就让网络攻击者通过创建能够绕过所有主要厂商的恶意软件样本商品化逃避策略。例如,对Furtim恶意软件家族的分析显示,它会查看400多种不同的属性来判断它是否是在目标网络或虚拟机上激活。
鉴于此,组织机构需要在选择恶意软件分析环境之前做一些尽职调查。向潜在的环境厂商询问一些问题,如:
1. 你在查询哪种虚拟机逃避情况,以及你是如何处理它们的?
2. 你的环境是基于开源的虚拟化组件还是完全自定义开发的?
3. 你能触发硬件上的未知样本作为自动化检测工作流的一部分吗?
其中对于环境是否基于开源虚拟化组件的答案尤为重要。当多个环境分享的是同样的技术时,它能够让攻击者写入一组代码来一次性逃避所有的检测,而攻击者只针对一种检测的成本很少会抵消开发代码的投资。
另外还应该考虑在真实硬件系统上运行可疑样本是否可行。虽然虚拟分析非常高效,但是甚至最先进的环境能够被技术足够强大的攻击者规避,因此要考虑系统是否允许做“裸金属”分析。当样本显示出逃避证据时,这种能力必须能够自动参与,因为在硬件系统上手动触发恶意软件会让安全团队的运营负担加重太多。
恶意软件分析环境对于正在发生的网络安全战争来说是很有价值的武器,不过需要组织机构意识到它们的局限性。基于以上标准选择环境,安全团队不仅能够更好地识别出并缓解恶意软件,还能够处理更多的恶意软件分析工作量。