详细内容或原文请订阅后点击阅览
沙盒评分不能替代防病毒软件
自动沙盒服务不应被视为“防病毒扫描程序”,用于确定样本的恶意程度。这不是它们的预期用途,而且它们在该角色中表现不佳。不幸的是,提供“总体得分”或“判决”具有误导性。
来源:None从恶意软件分析师的角度来看,沙盒判决并不能对文件的恶意性提供任何确定的见解。沙盒系统通常缺乏上下文,标签行为是在合法文件中也发生的“恶意软件行为”。他们的信心过高,因为与防病毒软件不同,因为对错误没有严重的后果。后者最糟糕的情况是在世界各地都无法使用系统。
更准确的术语将是“有趣的指标”,而不是“恶意软件行为”。例如,游戏可执行文件有时会被标记为键盘记录器,因为他们需要读取允许它们控制游戏中字符的击键。作为一个分析师,问题总是是:这种应用的预期行为是不合常规的吗?
沙盒报告中的许多结论也有限。真正重要的是了解为什么得出这些结论 - 数据是什么构成的。再次使用游戏示例,可以从几个指标中得出结论“日志击键”。仅举几例:
- contains strings that are typically found in key logs, e.g., "[ENTER]"has imports that might be used to monitor keystrokes the sample hooked APIs related to recognizing keystrokes during the sandbox run the sample has code patterns of known keylogger malware the sample is detected by antivirus scanners as a keylogger the sample has a debug path that contains the word "keylogger"the sample dropped a file在沙箱运行期间包含击键