Kaspersky Sandbox

Kaspersky Sandbox
درباره ی فن آوری Sandbox

 

Kaspersky Sandbox سیستمی برای ردیابی بدافزار است که با یک سیستم عامل کاملاً برجسته ، یک شیء مشکوک را در چند ماشین مجازی (VM) اجرا می کند و با تجزیه و تحلیل رفتار آن ، فعالیت مخرب آن را تشخیص می دهد. اگر شیء اعمال مخرب را در یک VM انجام دهد ، Sandbox آن را به عنوان بدافزار تشخیص می دهد. این VM ها از زیرساخت های تجاری واقعی جدا شده اند.

Sandbox رفتار یک شیء را هنگام اجرای آن آنالیزمی نماید و همین امر باعث می شود این شیوه در برابر بدافزارهایی که از تجزیه و تحلیل استاتیک فرار می کنند، بسیار مؤثر باشد. در عین حال در مقایسه با سایر طرح های تحلیل رفتاری، Sandbox ایمن تر است زیرا با استفاده از آن، خطری برای اجرای یک موضوع مشکوک در زیرساخت های تجاری واقعی شبکه شما نخواهد داشت.

شرکت کسپرسکی چند سال پیش در آزمایشگاه خود، Kaspersky Sandbox را توسعه داد. در زیرساخت های آن ها یکی از ابزارهای تجزیه و تحلیل بدافزار ، تحقیق و ایجاد بانکهای اطلاعاتی ضد ویروس است. Kaspersky Sandbox همچنین بخشی از محصول گسترده کسپرسکی برای حملات هدفمند (KATA) می باشد. بستر اطلاعات تهدیدها همچنان آزمایشگاه کسپرسکی است. این کمک می کند تا پرونده ها و نشانی های اینترنتی به عنوان مخرب یا سالم رتبه بندی شوند و اطلاعاتی در مورد فعالیت آنها فراهم می کند که برای ایجاد قوانین و الگوریتم های تشخیص بسیار مفید خواهد بود.

 

ویژگی های Kaspersky Sandbox

 

Sandbox مبتنی بر مجازی سازی سخت افزاری است که باعث سرعت و پایداری آن می شود.

ویژگی های اصلی:
  • ماشین های مجازی (VM) ها شامل سیستم عامل ویندوز (تمام نسخه های رایانه شخصی که از ویندوز XP شروع می شوند و همه نسخه های سرور که از Windows Server 2003 شروع می شوند) و سیستم عامل اندروید (x86 ، معماری پردازنده ARM) می باشند.
  • Kaspersky Sandbox تعامل پردازش های کاوش شده با سیستم عامل را کنترل می کند و در موارد مشکوک بسیارعمیق تر بررسی می کند.
  • Kaspersky Sandbox شناسایی مراحل بهره برداری از مراحل اولیه اجرای Exploit ها را انجام می دهد. توسط این شناسایی بهره برداری استفاده از انواع آن مانند ROP chain usage, heap spraying, stack pivoting و یا تغییر علائم امنیتی و تغییرات محافظت از حافظه مشکوک و موارد دیگر قابل تفکیک خواهد بود. Kaspersky Sandbox قادر به شناسایی سوء استفاده های پیشرفته ای است که در حملات هدفمند مورد استفاده قرار می گیرد.
انواع اشیاء که قابل اجرا هستند:
  • ویندوز: تمامی فایل ها شامل exe, dll, .NET objects, MS Office files, PDFs
  • اندروید: APK (DEX)
  • لینک: Kaspersky Sandbox به تمامی لینک ها دسترسی پیدا می کند و بررسی دانلود فایل مشکوک یا اجرای Javascript و Flash را انجام می دهد.

 

گردش کار تشخیص بدافزار

 

۱) Kaspersky Sandbox درخواستی را برای اسکن یک شی (یک فایل یا URL) از یک مؤلفه دیگر امنیتی با دستورالعمل های ذیل دریافت می کند:

۱-۱) سیستم عامل و پیکربندی اجرای شیء

۲-۱) پارامترهای اجرا

۳-۱) سایر برنامه های شخص ثالث نصب شده در VM

۴-۱) محدودیت زمانی آزمون و غیره

۲) شیء مورد آزمایش به طور کامل اجرا می شود.

۳) Kaspersky Sandbox تحلیل ها را در مدت زمان مشخص شده جمع آوری می کند. اگر شیء با نمونه های شناخته شده، با فرآیندهای دیگر یا URL ها در تعامل باشد،  Sandbox این مسئله را ضبط می کند.

۴) Kaspersky Sandbox سایر مشخصات را تجزیه و تحلیل می کند و حکم خود را به سیستم درخواست کننده تحویل می دهد: بدافزار است یا خوش خیم. سپس داده های دیگر را به حکم قبل (نظیر شناسه ، ویژگی ها ، گزارش ها ، جزئیات رفتار) اضافه می کند، که می تواند بدون نیاز به درخواست جدید به تجزیه و تحلیل بیشتر کمک کند.

 

آثار جمع آوری شده توسط Kaspersky Sandbox

 

  •  گزارشات مربوط به اجرای برنامه (فراخوانی عملکرد API با پارامترهای آنها ، رویدادهای اجرا)
  • فایل Dump در حافظه
  • ماژول های اجرا شده در زیربرنامه
  • تغییرات در سیستم هسته و رجیستری
  • ترافیک شبکه (پرونده های PCAP)
  • عکسهای صفحه (در صورت لزوم برای ممیزی آسان تر و تجزیه و تحلیل دستی ، در صورت لزوم)

 

پیشگیری از فرار

 

معمولاً بدافزارهای امروزی سعی در کشف و فرار از راهکار Sandbox را دارند. هنگامی که می دانند در Sandbox در حال اجرا هستند، می توانند هرگونه فعالیت مخرب را انجام داده و خود را از دیسک پاک کنند ، خود را خاتمه دهند یا از برخی روش های دیگر فرار استفاده کنند.

طراحی ساده تر نظارت بر Sandbox سخت افزاری نشان می دهد که روند مشکوک در حال مشاهده است. بنابراین، ما تکنیک های مانیتورینگ دیگری را اجرا کردیم که غیرقابل نفوذ هستند و در آنها هیچ اثری از جسم اسکن شده قابل مشاهده نیست. Kaspersky Sandbox میزان استفاده از CPU و RAM را کنترل می کند، اما عملکرد فرآیند، حافظه و کتابخانه های سیستم را بر روی دیسک و حافظه تغییر نمی دهد و هیچ اثری از نظارت باقی نمی گذارد.

منبع : https://www.kaspersky.com/enterprise-security/wiki-section/products/sandbox

تهیه شده توسط : حامد اصغری

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *