تکنولوژی سَندباکس کسپرکسی در راهکار کاتا چگونه کار می کند؟

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

تکنولوژی سَندباکس کسپرکسی در راهکار کاتا چگونه کار می کند؟
زیرساخت آنالیز بدافزار کسپرسکی، در داخل سازمان، یا به صورت ابری، تکنیک های خاصی را برای راهکارهای فرار از شناسایی بدافزارها استفاده می کند.

q799

تکنولوژی سَندباکس - Sandbox چیست؟
تکنولوژی سندباکس (Sandbox) سیستمی است کهObjectهای مشکوک را در محیطی مجازی با تمام قابلیت های سیستم عامل اجرا کرده و رفتارهای مشکوک و مخرب آن ها را جمع آوری می کند. اگر Object مذکور رفتار مشکوکی را از خود نشان دهد، به عنوان بدافزار شناسایی خواهد شد. این ماشین های مجازی به صورت ایزوله شده از سایر زیرساخت فناوری اطلاعات و کسب و کار قرار داده می شوند.

سندباکس ها رفتار بدافزارها را در زمانی که در حال اجرا هستند بررسی کرده که این مورد بسیار کارآمد خواهد بود. به دلیل اینکه زمانی که بدافزارها به صورت Static آنالیز می شوند ممکن است خیلی از رفتارهایشان قابل شناسایی نباشد. در مقابل تکنولوژی های رفتارشناسی در آنتی ویروس ها، راه مطمئن تری است، چرا که نمونه های مشکوک را در محیط ایزوله و نه بر روی یک سیستم واقعی در محیط کسب و کار اجرا خواهد کرد.

Kaspersky Lab Sandbox
شرکت کسپرسکی، سندباکس خود را سالیان گذشته طراحی کرده و توسعه داده است. در زیرساخت شرکت کسپرسکی، یکی از ابزارهایی که برای شناسایی، آنالیز و ساخت دیتابیس بدافزار، استفاده می شود همین سندباکس است. همچنین این سندباکس به عنوان بخشی از راهکار Kaspersky Anti Targeted Attack )KATA)‌ استفاده می شود. در این پست به ماژول های مورد استفاده در راهکار KATA توضیح داده شده است. در این راهکار سندباکس کمک می کند تا با بررسی یک URL و File، نرخ احتمال مخرب بودن را به دست آورید و با استفاده از این احتمال تصمیمات بعدی گرفته شود.

قابلیت های Sandbox
این سندباکس بر اساس Hardware Virtualization طراحی شده است که آن را بسیار سریع و پایدار کرده است.
ماشین های مجازی موجود سیستم عامل های ویندوز از Windos XP و Server 2003 به بالا و سیستم عامل های اندروید x86 و ARM را پشتیبانی می کند.
ابتدا این سندباکس ارتباط object مربوطه را با سیستم عامل بررسی نموده و در صورتی که به آن بیشتر مشکوک شود، به صورت عمیق تر رفتار را بررسی خواهد نمود.
این سندباکس از زمان شروع استفاده از Exploitهای معروف رفتار بدافزارها را بررسی قرار داده و آنالیز می کند. همچنین قادر است تا Exploitهایی که برای استفاده در حملات هدفمند استفاده می شود را نیز بررسی و آنالیز کند.

چه نوع Objectهایی می توانند در سندباکس اجرا شوند؟
ویندوز: هر فایل اجرایی یا نیمه اجرایی مانند فایل های exe، dll، دات نت (NET.) فایل های نرم افزار آفیس و فایل های PDF
اندروید: فایل های APK (DEX)
URLها: سندباکس به URL مربوطه رفته و رخدادهای پس از آن را بررسی می کند. مثلا دانلودها، جاواسکریپت ها، اجرا شدن فایل های Adobe Flash و ...

نحوه کار سندباکس
1. سندباکس یک درخواست برای بررسی یک Object، فایل یا URL را از یکی از کامپونت های کاتا دریافت می کند و با استفاده از دستورالعمل ها سیستم عامل مورد نیاز و تنظیمات مربوطه برای اجرای این Object را فراهم می آورد. مانند پارامترهای مورد نیاز آن، نرم افزارهای مورد نیاز، زمان مناسب برای اجرا و ...

2. Object مربوطه در محیط سندباکس اجرا می شود.

3. نتایج آنالیز و دست آوردهای آن (Artifacts) با زمان آن جمع آوری می شود. مثلا اگر آبجکت مربوطه دسترسی به URL داشته یا می خواسته با Process دیگری ارتباط بگیرد همگی ثبت خواهد شد.

4. سندباکس artifactها را بررسی کرده و حکم (Verdict) خود را به سیستمی که درخواست بررسی توسط سندباکس را داده بود، ارائه می کند. همچنین جزییات مربوط به فعالیت این Object را نیز برای استفاده در آینده ارائه خواهد نمود.

چه Artifactهایی توسط سندباکس جمع آوری می شوند؟
اطلاعات مربوط به اجرای نمونه (APIهایی که فراخوانی کرده به همراه پارامترها و رخدادهای زمان اجرا)
Memory Dump
Dump از ماژول های Load شده
تغییرات فایل سیستم و رجیستری
ترافیک شبکه (فایل PCAP)
اسکرین شات (برای آنالیز بهتر در صورت نیاز)
فعالیت ها در خصوص Exploitها

فرار از شناسایی
این روزها معمولا بدافزارها تلاش می کنند تا با شناسایی محیطی که در آن اجرا می شوند، از اجرای رفتار مخربانه خود در محیط سندباکس فرار کنند. به محض اینکه بدافزارها متوجه محیط سندباکس شوند، رفتار مخربانه خود را جلوگیری و خود را از روی دیسک پاک می کنند یا از روش های دیگر فرار استفاده می کنند.

روش های معمول مانند API Function Hook اگر در سندباکس ها استفاده شده باشد به راحتی توسط بدافزارها شناسایی خواهد شد. این سندباکس روش های دیگری را دارد که هیچ ردی از خود در ماشین مجازی را به جا نگذاشته و قابل شناسایی نخواهد بود. این سندباکس کنترل CPU و RAM را در اختیار گرفته ولی در هیچ Processی مداخله نمی کند.

همچنین برخی بدافزارها روش های جدید فرار را استفاده می کنند که محیط های مجازی سندباکس را شناسایی نمایند.

روش فرار A: محیط سندباکس برندهای معروف ممکن است آشنا باشد و بدافزارها راحت تر آن را شناسایی نمایند.

روش مقابله A: سندباکس کسپرسکی محیط سندباکس خود را در هر بار اجرا به صورت تصادفی تغییر می دهد.

روش فرار B: بدافزارها با استفاده از عدم فعالیت کاربر محیط سندباکس را تشخیص می دهند. برای مثال، برخی بدافزارها نیاز به تعامل با کاربر برای اجرا و برخی از فازهای حمله خود دارند.

روش مقابله B: سندباکس کسپرسی، قابلیت شبیه سازی فعالیت کاربر را دارد، به طوریکه می تواند حرکت Mouse، اسکرول کردن اسناد و ... را در زمان لازم انجام دهد.

چه حملاتی توسط سند باکس کسپرسکی شناسایی شده اند؟
تهدیدات هدفمند پیشرفته ای در سالیان گذشته توسط سندباکس کسپرسکی شناسایی شده اند که برخی از آن ها در زیر ذکر شده است:

Sofay
Zero.T
Enfal
Freakyshelly
NetTraveller
CobaltGoblin
Microcin