恶意软件分析是使用动态分析、静态分析或完全逆向工程确定和分析端点和网络内的可疑文件的做法。
恶意软件分析有什么好处?
强大的恶意软件分析实践有助于分析、检测和缓解潜在威胁。恶意软件分析可以帮助组织识别在高级、有针对性和零日攻击中使用的恶意对象
为什么恶意软件分析很重要?
恶意软件分析很重要,因为它可以帮助安全运营团队快速检测并防止恶意对象获得持久性并在组织内造成破坏。
恶意软件分析的类型
恶意软件分析主要分为三种类型:
1.静态分析
在不执行程序的情况下检查文件是否有恶意意图的迹象。该表格也可以在初步检查后要求IT专业人员进行人工审查,以进一步分析恶意软件如何与系统交互。静态文件分析寻找文件本身的异常,而不是它的执行方式。
它试图回答以下问题:
- 是否存在结构异常,例如嵌入式 shellcode、异常宏或其他通常不会出现在此类文档中的可执行程序?
- 文档是否有任何缺失或添加的段?
- 有嵌入文件吗?
- 是否有任何加密、指纹识别或其他可疑功能?
- 这份文件有什么看起来很奇怪的地方吗?
2.动态分析
依赖于一个封闭的系统(称为沙箱),在安全的环境中启动恶意程序,并简单地观察它的作用。检查环境模拟整个主机(包括 CPU、系统内存和所有设备),以持续观察恶意对象可以采取的所有操作。该自动化系统使专业人员能够观察恶意软件的运行情况,而不会让它感染他们的系统。动态分析与恶意软件交互以引发每个恶意行为,支持自动化、快速准确的发现,并且可以支持识别和分析组织基础设施中的模糊之处
3.逆向工程
恶意软件涉及反汇编(有时是反编译)软件程序。通过这个过程,二进制指令被转换为代码助记符(或更高级别的结构),以便工程师可以查看程序做了什么以及它影响了哪些系统。只有了解其详细信息,工程师才能创建能够减轻程序预期恶意影响的解决方案。逆向工程师(又名“逆向者”)将使用一系列工具来找出程序是如何通过系统传播的,以及它的设计目的。在这样做的过程中,逆向者将知道程序打算利用哪些漏洞
VMware 如何帮助进行恶意软件分析?
VMware NSX 网络检测和响应 (NDR)通过全系统模拟沙箱提供高级恶意软件分析功能,该沙箱显示操作系统内的所有恶意软件交互,包括规避行为和深入了解使用高级 AI 技术遍历数据中心的所有工件。
VMware 还通过持续的端点检测响应 (EDR) 提供本地威胁搜寻和事件响应解决方案。VMware 的 EDR 还支持离线环境中的可见性,持续记录和存储端点活动数据,以便 IT 专业人员可以实时定位威胁。