最新型网络攻击防护领导厂FireEye公司今天发布，标题为「易如反掌：恶意软件规避自动化档案式沙盒的方式」(Hot Knives Through Butter: How Malware Evades Automated File-based Sandboxes)的全新报告，透露进阶恶意软件攻击时，用以避开特征码的安全防卫机制的多种技术。现今精密、多型态恶意软件能够利用各种技术躲避、复制或使主机防护失效，使单向档案式沙盒解决方案无法产生任何作用。

资深研究总监暨此报告合著作者?卜(Zheng Bu)表示：「在如今的威胁环境之下，传统的沙盒已无法有效抵挡精密的恶意攻击。恶意软件已逐渐能够判断自身是否执行于虚拟环境，并改变自身行为以避开侦测。若要有效进行侦测，就必须透过多流向分析来探索恶意攻击的行为脉络和相关的各种面向—这正是我们的研究团队于本次研究中找出恶意软件样本的方法。」

FireEye实验室研究团队运用多方位虚拟执行引擎(MVX)的无特征码动态实时侦测能力，找出新的规避技术。

FireEye概略说明了恶意软件作者用来规避档案式沙盒的方法。此类方法通常属于下列一种或多种类别：

-人为互动：涉及人为互动的恶意软件在侦测到人为互动迹象之前，都处于潜伏状态。FireEye在2012年12月发现的UpClicker木马程序利用鼠标点击来侦测人为活动，并且只在侦测到鼠标左键点击后与恶意命令与控制(CnC)服务器建立通讯。

-组态：沙盒会模仿其所保护的实体计算机，但沙盒仍然被设定成特定的参数集。 沙盒多半只会对档案持续监控数分钟，随后即转往下一个档案。因此，网络犯罪份子只需等到沙盒的监控程序完成后再进行攻击即可。

-环境：恶意软件通常会设法利用仅存在于应用程序特定版本的缺陷。如果沙盒的预先定义组态缺少特定的操作系统和应用程序组合，某些恶意软件就不会执行，并且规避侦测。

-典型VMware规避技术：普遍的虚拟机工具VMware，由于组态独特，对恶意软件编写者而言相当实用，因此特别容易辨认。例如，VMWare的独特组态可让恶意软件在执行前先检查是否存在VMWare服务。

安全性专业人员若了解恶意软件作者用以规避档案式沙盒侦测的技术，便能有效防范潜在的进阶性持续威胁(APT)攻击。