據報道,在世界範圍內,每年因惡意軟件攻擊造成的損失超過100億美元,並且還在不斷增加。儘管網絡安全機制在不斷的升級,但惡意軟件層出不窮,仍然是黑客攻擊的利器。
近年來,人工智能和機器學習技術發展非常迅速,並且通過針對性的研究,此二者已經被認爲是未來抵抗網絡威脅的關鍵技術,也是衆多安全人員主要研究的重點。xise
因此,來自以色列的網絡安全以及惡意軟件研究人員Ran Dubin和Ariel Koren博士開發並在Black Hat大會上發佈了一款革命性的產品——以人工智能驅動的具有機器學習能力的惡意軟件研究平臺——SNDBOX。旨在幫助用戶在受到攻擊前就及時識別惡意軟件樣本並作出相應動作。http://caidaome.com/
但是,由於分析惡意軟件行爲往往是在執行惡意代碼之後,所以該程序不能用作防禦機制,並且需要一個隔離的受控環境來監視其行爲。
SNDBOX是什麼
簡單來說,SNDBOX是一個基於雲的、功能強大的、多向量的AI技術平臺,不僅能夠通過監控軟件行爲來分析不同類型和屬性的軟件,還可以將動態行爲轉換爲可搜索的向量,具有出色的可見性。詳情請參考演示視頻:騰訊分分彩
爲了能夠有效的監控,SNDBOX採用隱形內核模式來代理在受控環境中提交的二進制文件,此舉能夠對惡意軟件起到欺騙作用,使其誤以爲所在的環境是真實的系統。
SNDBOX可對惡意軟件的所有可執行行爲進行監控,從簡單的系統資源修改到高級的網絡惡意活動,然後會利用機器學習的算法處理其收集的數據,小到不足10KB,大到超過200MB的文件,統統不在話下。http://tatawed.com/
當然,爲了避免查殺,有些惡意軟件在系統內會有很長的潛伏期,SNDBOX也考慮到了這點。該平臺能夠通過改變惡意軟件的狀態和行爲使其跳過沉睡期立即執行。此外,SNDBOX還可以與各種第三方平臺相互集成,能夠參考其他來源的樣本、調查信息,通過行爲模式、向量、屬性、標籤等多個載體對惡意軟件信息進行彙總。
如何使用SNDBOX
傳送門:https://app.sndbox.com,只需註冊即可使用。http://tatawed.com/
登錄後,主界面會給用戶提供幾種選擇:上傳樣本進行掃描,或在數據庫中根據關鍵字或標籤搜索已有存檔的惡意軟件樣本。
主界面主要分爲四個部分:http://tatawed.com/
評分系統
互斥
處理
文件已存在
進程樹
靜態
靜態分析
元數據
導入/導出表
動態分析
進程樹
行爲指標(WMI,反VM,異常行爲等)
Windows API
信息和Insight選項卡
網絡分析
網絡和DNS流量及其有效負載信息
評分系統和文件的最終惡意指數會在分析結果與過往數據相比較後進行計算。
靜態分析選項側重於對惡意軟件屬性進行完整分析,不需要執行惡意軟件。動態分析則會顯示惡意軟件執行過程中完整的流程,通過流程樹將軟件在目標系統內的一舉一動(例如挖礦、注入等行爲)一一記錄。
在Behavioral Indicators選項卡下,主要用於顯示可執行的惡意軟件行爲:
注入技術;
文件丟棄;
已安裝進程檢查;
使用任意反VM技術;
修改Windows防火牆或註冊表規則;
竊取敏感信息,例如瀏覽器數據;
加密文件;
任何異常行爲;
……
每個部分都是可以單獨點擊的,能夠查看詳細的信息。
SNDBOX還能夠攔截源自受感染虛擬機的網絡連接和DNS請求,同時對提交的樣本在網絡分析過程的結果進行監控,顯示出相關的源端口、目標IP地址、目標端口、傳輸協議服務、持續時間等信息。除此之外,還會對各種簽名和可疑活動進行檢測,例如惡意軟件是否適用Tor網絡進行加密通信等。
SNDBOX數據庫的搜索功能
每個記錄在案的惡意軟件樣本都會上傳SNDBOX平臺,相關結果都可通過搜索結果公開訪問。除此之外,用戶可以免費查看和下載任意已提交的惡意軟件樣本的PCAP文件(捕獲的網絡流量)以及樣本本身的完整報告。所有用戶都可以通過平臺溝通交流,分享見解、資源、IOC等等。
附演示視頻: