业务保障技术领导厂商Blue Coat带您认识下一代恶意软件

在新兴的，价值数十亿美元的网络犯罪行业，有存放着各种利用企业和消费者漏洞的新式武器的“军火库”，那些恶意软件则成为该“军火库”中首选的武器。这个最成功的敌人——恶意软件，曾经使用源代码造成了那些全球最大的数据泄露事件。 作为网络武器军火库的杀手锏，回避虚拟机的恶意软件被吹捧为“下一代恶意软件”。毋庸置疑，Blue Coat的恶意软件分析设备则可以有力地帮住你打击下一代恶意软件。

当前安全行业始终在与坏人进行一臂之遥的赛跑。安全新技术一诞生，对手就会发现并利用新的漏洞。但是历史总是惊人得相似，在当今的威胁格局中，高价值目标往往是最快采用新技术的机构，例如银行、国防工业等。 就像过去针对防火墙一样，当今黑客正在想方设法规避新的安全形式。

魔高一尺，道高一丈。作为安全防御武器库中一个相对较新的成员—沙箱设备—已在虚拟机平台上构建，其目的是复制一个Windows PC，以便执行、分析可疑文件并检测恶意行为。但是，面对这些新的防御机制，网络犯罪分子开发出了可感知虚拟机（又名回避沙箱）的恶意软件。这种恶意软件相当复杂，以至于能够判断是否在虚拟环境中并且能够避免被检测到，直到被沙箱设备释放到PC环境中。这种恶意软件的行为就像任何良性内容在虚拟机中一样，甚至能够监测鼠标移动。但是一旦它认为自己面对的是人类，其真实目的就会显露出来。

回避虚拟机的攻击可通过社交工程进入，并针对企业经常使用的特定文件夹或应用程序。一些攻击还可以隐藏到某个日期，哄骗沙箱以为它是良性的。回避虚拟机的恶意软件甚至在沙箱里的时候也可更改代码，以避免被检测到。随着攻击来自不同的位置，多状态和多载体攻击的也越来越普遍，例如：鱼叉式网络钓鱼再加上损坏的USB驱动器。

坏人甚至可以利用加密SSL来扩散攻击。例如，你从同事那里收到一封电子邮件，点击一个链接，进入一个加密的SSL通道，这会有效隐藏攻击，使其避免直面传统恶意软件分析工具。你可以在PC浏览器中查看重新定向的SSL通道，但是不能在手机浏览器或移动应用程序中看到。因此，即使你亲眼看到，也很难比它更胜一筹!

恶意分析工具只和它们模仿的环境一样有效。众所周知，网络犯罪分子期望恶意软件在沙箱中被分析。Blue Coat推出的善于应对下一代恶意软件的恶意软件分析工具应能够在逻辑仿真模式以及虚拟机模式中分析恶意软件，能够检测到回避虚拟机的行为，并提供Ghost用户分析，例如：模拟鼠标动作，让恶意软件误以为自己面对的是人。总之，知己知彼才能百战不殆。Blue Coat的恶意软件分析设备利用下一代恶意软件分析工具帮助你打击下一代恶意软件。

—— Blue Coat ，Kevin Flynn