论文学习_SoK: An Essential Guide For Using Malware Sandboxes In Security Applications: Challenges, Pitfa

0. 文章概述

恶意软件沙箱尽管在安全应用程序中带来许多优势，但其复杂的选择、配置和使用过程常让新用户不知所措，甚至可能导致错误的部署，进而对安全分析结果产生负面影响。目前，缺乏系统化的指导来帮助用户正确选择和应用沙箱工具，这种知识空白阻碍了沙箱在不同研究领域中的有效应用。

为了填补这一知识空白，研究团队系统分析了84篇关于x86/64恶意软件沙箱的学术论文，并提出了一种新颖的框架，以简化沙箱组件和操作。研究通过组织已有文献，提炼出一套实用的沙箱使用指南，并用三种常见的安全应用程序进行评估，从而探索不同沙箱选择对实验结果的影响。提出沙箱使用指南

研究表明，所提出的指南显著提高了沙箱的可观察活动，提升幅度在1.6倍至11.3倍之间，同时在恶意软件家族分类任务中将准确率、精确度和召回率提高了约25%。此外，研究确认不存在万能的沙箱部署方案，用户需根据特定的分析范围和威胁模型进行沙箱配置，并强调记录实验过程、局限性和可重复性对于确保安全分析的科学性至关重要。实现沙箱分类精度的提升

1. 引言

恶意软件沙箱是恶意软件分析和安全应用中的核心工具，广泛应用于入侵检测、取证分析、自动化逆向工程和威胁情报服务。然而，沙箱的正确使用具有挑战性，用户在不同的实现方式、监控技术和分析配置（如仿真、虚拟化或裸机）之间面临大量选择。这些选择直接影响沙箱分析结果的准确性，可能导致遗漏或错误的分析工件，甚至出现沙箱规避和错误的取证结果，从而影响依赖这些工件的安全应用程序。沙箱使用不当可能对安全分析产生负面影响

虽然已有文献总结了动态恶意软件分析技术和沙箱规避技术，但这些研究大多从技术实现和实验设计角度进行综述，并未深入探讨沙箱的具体实现、监控技术和参数配置。此外，自2012年以来，恶意软件威胁、分析方法和计算环境发生了显著变化，包括出现了新型威胁（如勒索软件和加密挖矿）、新分析方法（如内存取证和硬件追踪）以及新环境（如云计算和物联网平台）。这些变化导致现有指南已过时，无法满足当前的需求。当前缺乏对沙箱使用的实用指南

研究旨在通过系统化分析已有文献来填补沙箱使用的知识空白，帮助用户有效地将沙箱集成到不同的安全应用中。研究团队从两十年的350多篇论文中筛选出84篇具有代表性的文献，通过研究这些文献来总结出一套指导用户正确使用沙箱的实用指南。这些指南关注沙箱的实现、监控技术和参数配置，帮助用户避免常见的部署问题。研究旨在提出新的沙箱使用指南

研究发现，通用沙箱的覆盖范围有限，结果偏向于更常见的恶意软件家族，而高级沙箱技术的部署难度较大，即使用户严格遵循指南和最佳实践，也不能保证结果完全符合预期。监控技术和分析参数的选择对沙箱的分析效果至关重要，采用透明的监控技术和具有磨损痕迹的分析环境（如文档、图像、视频和浏览器活动）有助于提高分析结果的可信度。指出影响沙箱分析效果的关键因素，为后续的实验验证提供理论依据

研究团队通过分析1,471个真实恶意软件样本，涵盖八个不同的恶意软件家族，验证了所提出指南的有效性。实验结果表明，使用这些指南可使沙箱的可观察工件数量提升至少1.6倍，最高达11.3倍。在家族分类任务中，准确率、精确度和召回率提高了约25%。此外，结合不同沙箱的分析结果可以进一步提升分类效果。研究还指出，即便是配置良好的沙箱也可能出现执行失败、反分析和依赖项缺失的问题。通过实验结果验证了前面提出的指南的有效性，并指出进一步改进的潜力和现实挑战

2. 整体框架

提出恶意软件沙箱的框架模型，包括三大核心组件：实现方式、监控技术 和 分析参数。框架强调了开发者/研究者与终端用户的角色差异，开发者专注于沙箱的开发和改进，而终端用户则负责配置和部署沙箱以进行动态恶意软件分析。研究的目标是系统化沙箱文献，提炼出适用于终端用户的配置和分析指南。引出三个核心沙箱组件

沙箱的实现方式分为三类，分别是：仿真（Emulation），纯软件实现虚拟机，如 QEMU；虚拟化（Virtualization），通过专用的操作系统管理硬件资源，如 Xen；裸机（Bare-metal），直接在物理硬件上运行操作系统。主要区别在于资源是通过硬件还是软件实现的，现代技术中还存在许多混合模型，进一步模糊了这些分类的界限。对沙箱的实现方式进行分类

沙箱的监控技术分为四类，分别是：内置用户空间监控（Inside-guest User-space），在分析环境内运行的用户态监控工具；内置内核空间监控（Inside-guest Kernel-space），在分析环境内运行的内核态监控工具；外部在线监控（Outside-guest Online），在分析期间对环境外部的在线监控，如虚拟机内省；外部离线监控（Outside-guest Offline），分析完成后使用的离线监控工具，如取证工具。根据沙箱的实现方式，监控技术可以在分析环境内部或外部进行扩展，提供更多的监控能力。对沙箱的监控技术进行分类

沙箱的分析参数包含四个主要配置项，分别是：输入参数（Input Parameter）：启动脚本、交互脚本和应用程序插桩，帮助触发恶意软件执行；环境参数（Environment Parameter），操作系统、系统设置、用户配置文件、应用程序和网络设置的安装和配置；运行次数（Number of Runs）：指定样本的分析次数；分析时间（Analysis Time）：设置静态或自适应分析时间，揭示恶意软件的隐藏功能。高级技术还包括操控系统时间来加速时间或提供虚假的时间值，以揭示恶意软件的时钟依赖行为。对沙箱的输入参数进行分类

沙箱用户分为两类，分别是：开发者/研究者 关注沙箱设计的透明性、可扩展性和隔离性等属性，以开发和改进沙箱技术；终端用户 则更专注于配置和使用沙箱进行恶意软件分析。研究从终端用户的角度对沙箱文献进行系统化，重点分析沙箱的三类应用场景：检测、观察性研究和反分析。从终端用户视角对沙箱文献进行系统化分析

研究团队对沙箱使用的文献进行了系统化分析。他们从谷歌学术中检索了动态恶意软件分析相关的关键词，筛选出过去20年内的350多篇论文，最终选择了84篇具有代表性的论文。筛选标准包括论文的创新性、引用数量和发表渠道的影响力。研究的重点是x86/64架构的Windows恶意软件动态分析，并通过分析这84篇论文总结出沙箱的实现方式、监控技术和分析参数的最佳实践。

3. 沙箱用途的分类

沙箱的使用分为检测（Detection）、观察性研究（Observational） 和反分析（Anti-analysis） 三个类别。这些类别并非互斥，有些论文可能有多重应用场景，但根据论文的主要目标来分类。例如，研究混淆技术的论文如果目的是区分恶意与良性程序，则归类为检测。

3.1 检测类沙箱