SNDBOX:應用AI進行惡意軟體分析
Bleepingcomputer研究人員測試上傳了一個惡意軟體樣本。
提交文件給SNDBOX
提交文件後,SNDBOX會執行並對惡意軟體樣本進行靜態和動態分析。之後,會提供給用戶一個關於惡意軟體分析的報告,包括共有3個區域,分別是靜態分析、動態分析和網路。
靜態分析
靜態分析區可以查看提交的文件信息,比如文件metadata、section table、import table、export table等。這些信息也可以通過其他惡意軟體分析工具查看,SNDBOX提供的信息與這些相同。
靜態分析部分
動態分析
動態分析部分是真正展現SNDBOX實力的部分。在執行SNDBOX分析時,會記錄所有創建的文件和進程,以及系統API調用、註冊表查詢和修改、WMI請求等。
動態分析部分
AI技術應用在分析樣本的執行模式和代碼,並將其分類為惡意軟體或正常行為。比如,會將嘗試清除Shadow Volume Copies的行為歸為勒索軟體,因為它會釋放文件並加入Dropper bucket。信息竊取器Loki會被添加到Stealer bucket。
該部分會列出所有創建的文件,搜索敏感的字元串,並解碼。比如,如果檢測到base64編碼的字元串,就可以在輸出中自動解碼。
最後,可以在進程執行樹中雙擊任何節點來獲取命令行、API調用、子和父進程的更多信息。
網路
網路部分中會看到運行樣本過程中的所有網路流量。使用這些信息,AI可以查看一些不尋常的信息。這允許用戶快速查看網路流量信息。
網路活動
網路活動會被分成不同的網路服務,所以用戶可以關注全部,也可以關注其中的DNS流量和HTTP流量。SNDBOX會使用Suricata IDS來檢測一致的惡意流量簽名和模型。
完整JSON報告
並不是SNDBOX收集的所有信息都會展示在網站上,比如HTTP請求的POST數據就不會展示在儀錶盤。
但是用戶可以下載完整的JSON報告,報告中含有SNDBOX收集的所有信息。
下載的資源
※CVE-2018-19788:UID大於INT_MAX的Linux用戶任意代碼執行漏洞
※kali密碼攻擊工具——Cewl使用指南
TAG:嘶吼RoarTalk |