什麼是惡意軟體分析?
惡意軟體分析是使用動態分析、靜態分析或完整反向工程,以判斷與分析端點及網路內之可疑檔案的方式。

VMware NSX Sandbox

VMware Carbon Black Endpoint Detection and Response (EDR)
惡意軟體分析具備哪些優勢?
強大的惡意軟體分析方式有助於分析、偵測和減輕潛在威脅。惡意軟體分析可協助企業識別在進階、針對性與零時差攻擊中,所使用的惡意物件
惡意軟體分析為什麼至關重要?
惡意軟體分析之所以重要,是因為其可協助安全性營運團隊迅速偵測並防止惡意物件持續存在於企業內,以及在企業內造成破壞。
惡意軟體分析類型
惡意軟體分析可分為三種主要類型:
1.靜態分析可在無需執行程式的情況下,檢查檔案中是否有惡意意圖的跡象。這種形式也可在初步檢查後,要求 IT 專業人員進行手動檢閱,以進一步分析惡意軟體如何與系統互動。靜態文件分析會在檔案本身中尋找異常狀況,而非在其執行方式中尋找異常狀況。
這種分析類型旨在找出多項問題的解答,例如:
- 結構上是否有異常情況?例如內嵌 Shellcode、異常巨集,或是其他通常不會出現在這類文件中的可執行程式?
- 文件中是否有任何遺漏或新增的區段?
- 是否有任何內嵌檔案?
- 是否有任何加密、指紋識別或其他可疑功能?
- 文件是否有任何看起來怪異之處?
2.動態分析需仰賴封閉系統 (稱為「沙箱」),以在安全的環境中啟動惡意程式,並單純觀察其運作情況。檢查環境會模擬整個主機 (包括 CPU、系統記憶體和所有裝置),以持續觀察惡意物件可能採取的所有行動。此自動化系統可讓專業人員觀察惡意軟體的運作狀況,而無需讓惡意軟體感染系統。動態分析會與惡意軟體互動以引發每一種惡意行為,並且可支援自動化、快速且精確地獲得分析結果,同時也能支援識別與分析企業基礎架構內的隱密之處
3.對惡意軟體進行反向工程時,需反組譯 (有時需反編譯) 軟體程式。透過這項流程,二進位指令會轉換為程式碼助憶碼 (或更高階結構),讓工程師能檢視程式的功能,以及程式所影響的系統。唯有瞭解其詳細資訊後,工程師才能建立解決方案,以減輕程式意圖造成的惡意影響。反向工程師 (也就是「反向人員」) 會使用各種工具,找出程式在系統中傳播的方式,以及該程式所設計進行的作業。這麼一來,反向人員隨後就能得知程式企圖利用的弱點為何
VMware 如何協助您執行惡意軟體分析?
VMware NSX Network Detection and Response (NDR) 透過全系統模擬沙箱來提供進階惡意軟體分析功能,該沙箱可顯示作業系統內的所有惡意軟體互動,包含規避行為在內,且能使用進階人工智慧技術,針對通過資料中心內所有成品,提供深入能見度。
VMware 也透過持續進行的端點偵測與回應 (EDR),提供地端搜尋威脅與安全事件應變解決方案。VMware 的端點偵測與回應也可提供離線環境能見度,其能持續記錄和儲存端點活動資料,讓 IT 專業人員能即時鎖定威脅。