安全的变化和挑战
当前恶意软件防护正面临巨大的挑战，一方面随着恶意软件变种技术和免杀技术的发展，恶意软件变种正变得多样化和容
易化，黑客用几秒钟到几分钟的时间就可以制作出恶意软件的新变种， 而基于特征库匹配方法的网络防病毒方案很难检测出变
种的恶意软件，变种和免杀技术的发展需要有未知威胁检测方案。另一方面，威胁越晚被检测到，对企业的影响就越大，同时
恶意软件的传播速度也越来越快，近期爆发的勒索软件WannaCry 一天左右就传播到100 多个国家，造成几十万台电脑中招，
所以，针对最新的恶意软件或者恶意文件的变种防护必须要快。
利用沙箱的行为技术检测未知威胁
沙箱技术是Gartner 认可的一项高级威胁检测技术，可实时的检测未知威胁，并被主流安全厂商广泛使用。同传统的基于
特征匹配的检测方式不同，沙箱技术通过分析文件运行时的行为来发现隐藏在其中的未知威胁。沙箱会模拟文件执行的操作环境，
同时动态监控和分析文件的执行。如果这些未知文件在虚拟环境中启动了攻击行为，沙箱可以捕获这些攻击行为，进而判定该
文件为恶意软件。
上图显示了沙箱系统的工作流程：首先从网络流量中提取出文件，然后对文件的运行行为进行分析，根据行为分析，判断
文件是否为恶意软件，并输出详细的行为分析报告。
免杀技术可以改变恶意软件的静态特性，但是不会改变该恶意软件的动态行为特征。所以沙箱技术可以有效对抗最新的免
杀技术，发现未知恶意软件的威胁和攻击，从而对多层次立体防御系统的构建起到关键的作用。

Locky 勒索软件的攻击场景：

 

1. 黑客通过钓鱼邮件或水坑式攻击的方式，将恶意文件投送到用户端。

 

2. 用户不小心执行了恶意文件，被安装后门，恶意文件还可能进一步在内网扩散。

 

3. 恶意软件通过后门与 C&C 服务器通信，进一步下载勒索软件。

 

4. 勒索软件加密本地文件，弹出弹窗进行勒索。