【安全百科】《威胁情报小百科》第7期:什么是沙箱&如何分析文件

威胁情报小能手 2021-08-31 07:49:39 2137人浏览

干货满满的《威胁情报小百科》第7期来了,每周一点小知识。

前几期我们介绍了什么是IP情报、域名情报、hash情报,今天就来介绍下文件情报的分析,以及分析文件必用的沙箱为何物?

一、什么是沙箱

小时候玩沙子,一沙一世界,操盘我的虚拟天地。沙箱,就像我的虚拟世界。

沙箱:是桌面运行环境的虚拟镜像系统,用来深度检测可疑文件。当对未知的可疑文件分析时,有时我们需要实际运行它,并记录他的一切行为,进而对其进行分析,就需要用到沙箱。

二、沙箱的特点

(1)沙箱是桌面运行环境的虚拟镜像系统,包括:配置、驱动、应用、语言;

(2)接受来自安全联动产品的可疑对象:例如可疑URL、文档文件、可执行文件;

(3)可以自动执行针对可疑文件及URL的分析检测;

(4)生成详细的报告,并告知不同的风险级别。

三、沙箱的优势

1.便捷经济:不需要部署真机,只需要制造一个虚拟环境运行软件。通过分析文件的动作,来判断是否属于恶意文件。虚拟环境停止后,一切运行痕迹消失。

 

2.高度可视化:呈现文件动态运行结果,告知“高危”、“中危”、“低危”行为。恶意动作一目了然,给您直观视觉感受。

四、沙箱分析,产生的分析结果分类

1.高级恶意程序;

2.控制与命令(C&C)违规外联;

3.零日恶意程序;

4.防毒软件逃逸、自我保护;

5.自运行或其他系统配置;

6.欺骗、社交工程;

7.文件删除、下载、共享或者复制

8.劫持、重定向、数据窃取

9.畸形、有瑕疵或者带有已知威胁特征

10.进程、服务、或者内存对象被篡改;

11.可疑网络或通讯活动

12.Rootkit

13.其他威胁特征

五、实操课:如何在威胁情报TI平台分析文件情报?

一、打开TI首页:https://ti.dbappsecurity.com.cn/,点击上传文件图标

二、上传分析文件,等候分析结果

三、文件提交后,在个人中心-文件管理内查看

刷新,查看分析状态:

另外,在查询hash文件的后,选择“动态分析”,即是沙箱分析报告,可以完整查看:

以上就是文件上传分析的基本知识点,下期你们想了解什么?

 

钉钉群:威胁情报中心交流

微信公众号:安恒威胁情报中心

威胁情报小百科
    0条评论
    1
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。