【安全百科】《威胁情报小百科》第7期:什么是沙箱&如何分析文件
干货满满的《威胁情报小百科》第7期来了,每周一点小知识。
前几期我们介绍了什么是IP情报、域名情报、hash情报,今天就来介绍下文件情报的分析,以及分析文件必用的沙箱为何物?
一、什么是沙箱
小时候玩沙子,一沙一世界,操盘我的虚拟天地。沙箱,就像我的虚拟世界。
沙箱:是桌面运行环境的虚拟镜像系统,用来深度检测可疑文件。当对未知的可疑文件分析时,有时我们需要实际运行它,并记录他的一切行为,进而对其进行分析,就需要用到沙箱。
二、沙箱的特点
(1)沙箱是桌面运行环境的虚拟镜像系统,包括:配置、驱动、应用、语言;
(2)接受来自安全联动产品的可疑对象:例如可疑URL、文档文件、可执行文件;
(3)可以自动执行针对可疑文件及URL的分析检测;
(4)生成详细的报告,并告知不同的风险级别。
三、沙箱的优势
1.便捷经济:不需要部署真机,只需要制造一个虚拟环境运行软件。通过分析文件的动作,来判断是否属于恶意文件。虚拟环境停止后,一切运行痕迹消失。
2.高度可视化:呈现文件动态运行结果,告知“高危”、“中危”、“低危”行为。恶意动作一目了然,给您直观视觉感受。
四、沙箱分析,产生的分析结果分类
1.高级恶意程序;
2.控制与命令(C&C)违规外联;
3.零日恶意程序;
4.防毒软件逃逸、自我保护;
5.自运行或其他系统配置;
6.欺骗、社交工程;
7.文件删除、下载、共享或者复制
8.劫持、重定向、数据窃取
9.畸形、有瑕疵或者带有已知威胁特征
10.进程、服务、或者内存对象被篡改;
11.可疑网络或通讯活动
12.Rootkit
13.其他威胁特征
五、实操课:如何在威胁情报TI平台分析文件情报?
一、打开TI首页:https://ti.dbappsecurity.com.cn/,点击上传文件图标
二、上传分析文件,等候分析结果
三、文件提交后,在个人中心-文件管理内查看
刷新,查看分析状态:
另外,在查询hash文件的后,选择“动态分析”,即是沙箱分析报告,可以完整查看:
以上就是文件上传分析的基本知识点,下期你们想了解什么?
钉钉群:威胁情报中心交流
微信公众号:安恒威胁情报中心