Çevrimiçi Otomatik Zararlı Yazılım Analizi Platformu SNDBOX

Otomatik bir zararlı yazılım analizi yazılımı mı arıyorsunuz? Herhangi bir kurulum veya yapılandırma gerektirmeyen tek bir tıklama çözümü gibi bir şey… Araştırma sürenizi artırabilecek bir platform… Veri odaklı açıklamalar sağlayabilecek bir teknoloji…

Black Hat konferansında İsrailli siber güvenlik ve kötü amaçlı yazılım araştırmacıları, kullanıcıların bilinmeyen kötü amaçlı yazılım örneklerini greve başlamadan önce belirlemelerine yardımcı olmayı amaçlayan devrim yaratan bir makine öğrenimi ve yapay zeka destekli kötü amaçlı yazılım araştırmacı platformu başlattı.

Dublaj SNDBOX , ücretsiz online otomatik kötü amaçlı yazılım analizi sistemi herkes bir dosya yükleyin ve kolay anlaşılır grafik arayüzü onun statik, dinamik ve ağ analizi erişmesini sağlar. Kötü amaçlı yazılım saldırılarına bağlı kayıpların her yıl 10 milyar dolardan fazla olduğu ve bu durumun artmakta olduğu bildiriliyor. Siber güvenlik mekanizmalarının önemli ölçüde iyileştirilmesine rağmen, kötü amaçlı yazılımlar, hackerlar tarafından sistemlerin önemli ölçüde iyileştirilmiş kaçırma kabiliyetinden dolayı taviz vermeleri için kullanılan güçlü ve etkili bir araçtır.

Son yıllarda, yapay zeka ve makine öğrenimi teknolojileri muazzam bir şekilde gelişmiştir ve çeşitli örneklerin davranışlarını inceleyerek daha önce görülmemiş kötü amaçlı yazılımları tespit etmek için en ümit verici tekniklerden biri olarak ortaya çıkmıştır.

Ancak, kötü amaçlı yazılım davranışlarını analiz etmenin, ilk başta kötü amaçlı kodun yürütülmesini gerektiren bir saldırı sonrası tekniği olması nedeniyle, yaklaşım bir savunma mekanizması olarak kullanılamaz; bunun yerine, davranışlarını izlemek ve incelemek için her zaman yalıtılmış ve kontrollü bir ortama ihtiyacınız vardır.
Siber güvenlik araştırmacıları Dr. Ran Dubin ve Ariel Koren tarafından geliştirilen SNDBOX, davranışa dayalı kötü amaçlı yazılım araştırması yaklaşımını her zamankinden daha kolay ve herkes tarafından erişilebilir hale getiriyor.

SNDBOX nedir ve nasıl çalışır?
SNDBOX güçlü, çok vektörlü, bulut tabanlı bir AI teknolojisi platformudur ve sadece davranışlarını izleyerek farklı özniteliklere ve vektörlere karşı dosyaları analiz edememektedir, aynı zamanda dinamik davranışsal girdileri de aranabilir vektörlere dönüştürerek kullanıcıların engin aramalarını yapmalarını sağlar. mükemmel görünürlük ile çevrimiçi kötü amaçlı yazılım analiz veritabanı.

Etkin izleme için SNDBOX, kontrol edilen bir ortamı, kontrollü bir ortamda, kötü amaçlı yazılımın, saldırmak istediği gerçek bir sistemde yürütüldüğüne inanarak kötü amaçlı yazılımları aldatan bir kernel modu aracı kullanarak yürütür.

Kullanıcı modu ve Çekirdek modu arasında yer alan SNDBOX’un görünmez kernel modu aracı, kötü niyetli doğasını ve yeteneklerini açığa çıkartarak, amaçlanan tüm işlevlerini yerine getirirken kötü amaçlı yazılımları çalıştırır.

SNDBOX, sistem kaynaklarının basit modifikasyonlarından gelişmiş ağ etkinliklerine kadar, çalıştırılabilir davranışları izler ve daha sonra 10 KB’lik küçük bir ikili için 200MB’nin üzerinde olabilen büyük miktarda veri toplanmasını kolaylaştırmak için makine öğrenimi algoritmalarını kullanır.

Sonuçlar
Şaşırtıcı olabilirsiniz, kötü amaçlı yüklerini etkinleştirmeden önce uzak komutları bekleyen bilgisayar virüsleri nedir?

Araştırmacılar, “Uzun bir süre beklemek zorunda olsa bile, uzun süre uykuyu veya olayları inceleyerek, kötü amaçlı kodun tam potansiyelini, gerçek doğasına ilişkin maksimum bilgi alma davranışını değiştirerek derhal yürütmesini sağlıyoruz.” Platform, kendisine sunulan örnekleri araştırarak zaman içinde çeşitli yönlerden, davranış kalıplarından, vektörlerden, niteliklerden, sınıflandırmalardan ve imzalardan daha derin bilgi ve anlayışı otomatik olarak geliştirecek şekilde tasarlanmıştır.

Araştırmacılar The Hacker News’e “Çok vektörlü AI algılama mekanizmaları ve davranışsal göstergeler, dosyanın niteliği hakkında kesin sonuçlar sağlamak için zararlı etkinlikleri ve toplam verileri saptamak için birlikte çalışıyorlar.

SNDBOX ayrıca çok çeşitli 3. taraf güvenlik platformları ile entegre edilebilir.

SNDBOX Zararlı Yazılım Çözümleme Platformu Nasıl Kullanılır?
Boş https://app.sndbox.com , SNDBOX platformu sadece ücretsiz çevrimiçi hesap oluşturarak ulaşılabilir.

automated-malware-analysis-sandbox-3
Giriş yaptıktan sonra, gösterge panosu kullanıcılara otomatik tarama için bir örnek göndermesi veya farklı anahtar kelimeler ve davranış etiketlerine sınıflandırılmış önceden analiz edilmiş kötü amaçlı yazılım örnekleri için veritabanını aramasını sağlar.
Analiz sonucu kontrol paneli, kötü amaçlı yazılım araştırma yeteneklerini ölçeklendirmek ve araştırma süresini azaltmak için yüksek görünürlük ve veri odaklı açıklamalar sağlamak üzere güzel bir şekilde tasarlanmıştır.

Aşağıda, aşağıdaki ekran görüntülerinde gösterildiği gibi, SNDBOX web sitesinde de erişilebilen The Hacker News ile özel olarak paylaşılmış olan pano, aşağıda gösterildiği gibi, tıklanabilir alt bölümleri ile dört ana bölüme ayrılmıştır:

Skor sistemi,
Karşılıklı dışlama,
Sap,
Dosya var,
İşlem Ağacı,
Statik,
Statik Analiz,
Meta veri,
Tabloları içe / dışa aktar,
Dinamik Analiz,
İşlem Ağacı,
Davranışsal Göstergeler (WMI, Anti-VM, Anormal Davranış, vb.),
API Windows,
Bilgi ve Analiz Sekmeleri,
Ağ analizi,
Yük bilgisiyle ağ ve DNS trafiği.

Puanlama sistemi, daha önce analiz edilen verilerle sonuçları karşılaştırarak hesapladığı, yüklenen bir dosya için yüzde olarak nihai zararlı skoru [sol üst] gösterir.

automated-malware-analysis-sandbox-1

Statik analiz sekmesi, kötü amaçlı yazılım çalıştırılmadan kötü amaçlı yazılımların tam analizine odaklanır. Dinamik analiz sekmesi, yürütme işlemi, örneğin işlem içi boşaltma, işlem oluşturma, işlem enjeksiyonu, vb. Gibi işlemlerde, bir hedef makinede yanal hareketin meydana geldiğini gösteren tam işlem ağacını görüntüler. Araştırmacılar, ”
En yeni yanal hareket imzası biçimlerini destekliyoruz ( AtomBombing ve ProcessDoppelganging dahil olmak üzere , süreçleri oluşturma ve antivirüs tespitinden kaçınmanın nispeten yeni yöntemleri olan yöntemler).”

automated-malware-analysis-sandbox-2

Davranışsal Göstergeler sekmesi altında, SNDBOX kötü amaçlı yürütülebilirse vurgular:
herhangi bir işlem enjeksiyonu veya oyuklama tekniğini kullanır,
Dosyaları bırakır,
Kurulu süreçleri kontrol eder,
Herhangi bir anti-VM tekniğini kullanır,
Herhangi bir Windows güvenlik duvarı veya kayıt defteri kuralını değiştirir,
Tarayıcı verileri gibi hassas bilgiler çalar,
Ransomware gibi dosyaları şifreler,
Kalıcılık kazanır,
Sistemde herhangi bir anormal davranış gerçekleştirir ve çok daha fazla gösterge.

Proses ağacının her bölümü tıklanabilir, bu da her bir süreç hakkında bilgi, API ve bilgi sekmeleri altında daha fazla bilgi ortaya çıkarır.

Araştırmacılar, The Hacker News’e “Bu davranışları tetiklediğimiz her davranış göstergesi için, bu davranışı tetikleyen tam bir sahte kod sağlıyoruz. Bu, makinede neler olduğuna dair büyük bir görünürlük sağlamanın bir yoludur.Okurlarımız için araştırmacılar, aşağıda listelenen bazı kötü amaçlı yazılımlar için SNDBOX analizini de paylaştılar:

Spora Ransomware, SNDBOX, Windows Yönetim Araçları’nı (WMI) nasıl kötüye kullandığını gösterir.

Zeus Banking Malware , SNDBOX sistemde “Hollowing” ve “Injection” yanal hareketi için görünürlük gibi heyecan verici bilgileri gösterir.

WannaCry Ransomware , kayıt defteri ayarlarını değiştirme, dosya şifreleme ve farklı uzantılara sahip dosyalar oluşturma davranışını vurgulayarak.

SNDBOX ayrıca, gönderilen örnekleri izleyerek ve kaynak bağlantı noktası, hedef IP adresi, hedef bağlantı noktası, aktarım protokolü hizmeti, süre ve zaman damgasıyla ilgili ayrıntılı bilgileri gösteren ağ analizi sekmesinde sonuçları görüntülerken virüslü sanal makineden kaynaklanan ağ bağlantılarını ve DNS isteklerini de engeller.

Bunun yanı sıra, ağ bölümü de, kötü amaçlı iletişim için kötü amaçlı yazılım ağının Tor ağını kullanıp kullanmadığını belirten, çeşitli imzalara ve vektörlere dayalı şüpheli ve garip etkinlikleri ortaya çıkarmaktadır.

SNDBOX’ın Kötü Amaçlı Yazılım Analizi Veritabanı Aranabilir
Her bir kötü amaçlı yazılım örneği, ücretsiz bir hesap kullanarak SNDBOX platformuna gönderildi ve sonuçları, güçlü arama özelliğiyle herkese açık.

[youtube https://www.youtube.com/watch?v=xRfQ3L0gn2g&w=560&h=315]

Daha önce de belirttiğim gibi, SNDBOX çıkarılmış özniteliklere dayanarak analiz edilmiş kötü amaçlı yazılım örneklerini kategorize etmek ve etiketlemek için makine öğrenme tekniklerini kullanır ve arama sonuçlarının ilgili sonuçları daha doğru bir şekilde göstermesine yardımcı olur.

Araştırmacılar, “İtibar motorumuz, yanlış aramaları azaltmak için AI aramasının yanı sıra çalışır. Son derece benzer sonuçlar, alaka düzeylerine göre döndürülür ve puanlanır.” Dedi.”Tüm araştırma verileri, sonuçlar ve ilgili uzman açıklamaları, açık araştırma platformumuzda mevcut olup, topluluğun kötü amaçlı zararlı yazılımlarla topluca mücadele çabalarını destekleme becerisini desteklemektedir.”

Halka Açık ve İndirilebilir!

Ayrıca, kullanıcılar, diğer ücretsiz hesap kullanıcıları tarafından gönderilen dosyalar için bile, gönderilen herhangi bir kötü amaçlı yazılım örneği, PCAP dosyası (yakalanan ağ trafiği) ve örnek dosyanın kendisi için tam raporu görüntüleyebilir ve indirebilir.
“Ayrıca, verilerimize tam erişim sağlayarak, ekibinizin tüm seviyeleri, tam kapsamlı kötü amaçlı yazılım iyileştirme ve yeni araştırma olanakları için gerekli bilgileri kullanabilirken, topluluk platformumuz aracılığıyla analizler, genel örnekler ve IOC’leri paylaşabilir.”

automated-malware-analysis-sandbox-5
SNDBOX ayrıca, özel analistler ve şirketler için özel hesaplar sunarak, sonuçlarını kimseyle paylaşmadan özel olarak örnekler göndermelerine olanak tanır.
Araştırmacılar, “Ayrıca, bir ağ ortamında, kuruluşunuzda, çözümünüze istediğiniz her şeyi bağlayabilmeniz için dosyanızı platformda analiz edebileceğiniz bir platform sunuyoruz” dedi.

Güvenlik Araştırmacıları SNDBOX Hakkında Ne Demek Gerekir?
cybersecurity-blackhat-conference

SNDBOX platformunu kullandıktan sonra ne düşündüklerini öğrenmek için birkaç siber güvenlik ve kötü amaçlı yazılım araştırmacıya ulaştık. İşte onlar; Matthew Hickey , Hacker House Kurucu bir platform olarak, bu enstrümantasyon yoluyla örnekleri kategorize tipik guguk sanal alanında görülen imza ve basit sezgisel ötesinde ikili analizi için yeni bir kullanışlı yeteneği getiriyor düşünüyorum” hem Dinamik ve statik olarak yararlıdır ve ayrıca davranışını belirlemek için yeni bir örneğe hızlı bir genel bakış sağlayabilir. ” dedi.

“Bu kötü amaçlı yazılım analistler araç seti eklemek için çok yararlı bir yeni bir araç olduğunu ve bu analiz sürecinin basitleştirilmesi ve mükemmel örnekleri davranışların üst düzey bir bakış sağlar. Bir imza henüz mevcut olmayabilir hangi tehditleri kategorize etmek yardımcı olur. O bir şey olduğunu Guguklu sandbox ve VirusTotal gibi ileriye doğru gidiyor, kötü amaçlı yazılım analistlerinin ellerine bir başka hızlı değerlendirme yeteneği getiriyor. “

Ido Naor – Kaspersky Lab ve Co-founder VirusBay’de araştırmacı

“SNDBOX, kötü amaçlı yazılım sanal alanlarının bugün nasıl çalıştığı konusunda bir oyun değiştiricidir. Diğer mevcut hizmetlerde bulunamayan ek teknik katmanlar içerir.”
“Buna ek olarak, çözümün arkasındaki ekip, kötü niyetli örnekleri nasıl patlatılacağını bilen ve en değerli parçaları bir güçlükten arındıran en üst düzey uzmanlardan başka bir şey değildir.”