SNDBOX：應用AI進行惡意軟體分析

Bleepingcomputer研究人員測試上傳了一個惡意軟體樣本。

提交文件給SNDBOX

提交文件後，SNDBOX會執行並對惡意軟體樣本進行靜態和動態分析。之後，會提供給用戶一個關於惡意軟體分析的報告，包括共有3個區域，分別是靜態分析、動態分析和網路。

靜態分析

靜態分析區可以查看提交的文件信息，比如文件metadata、section table、import table、export table等。這些信息也可以通過其他惡意軟體分析工具查看，SNDBOX提供的信息與這些相同。

靜態分析部分

動態分析

動態分析部分是真正展現SNDBOX實力的部分。在執行SNDBOX分析時，會記錄所有創建的文件和進程，以及系統API調用、註冊表查詢和修改、WMI請求等。

動態分析部分

AI技術應用在分析樣本的執行模式和代碼，並將其分類為惡意軟體或正常行為。比如，會將嘗試清除Shadow Volume Copies的行為歸為勒索軟體，因為它會釋放文件並加入Dropper bucket。信息竊取器Loki會被添加到Stealer bucket。

該部分會列出所有創建的文件，搜索敏感的字元串，並解碼。比如，如果檢測到base64編碼的字元串，就可以在輸出中自動解碼。

最後，可以在進程執行樹中雙擊任何節點來獲取命令行、API調用、子和父進程的更多信息。

網路

網路部分中會看到運行樣本過程中的所有網路流量。使用這些信息，AI可以查看一些不尋常的信息。這允許用戶快速查看網路流量信息。

網路活動

網路活動會被分成不同的網路服務，所以用戶可以關注全部，也可以關注其中的DNS流量和HTTP流量。SNDBOX會使用Suricata IDS來檢測一致的惡意流量簽名和模型。

完整JSON報告

並不是SNDBOX收集的所有信息都會展示在網站上，比如HTTP請求的POST數據就不會展示在儀錶盤。

但是用戶可以下載完整的JSON報告，報告中含有SNDBOX收集的所有信息。

下載的資源

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！