SNDBOX:应用AI进行恶意软件分析

ang010ela 安全工具 2018年12月13日发布
Favorite收藏

导语:本文介绍一个使用AI技术进行恶意软件分析的免费服务——SNDBOX。

在2018欧洲黑帽(Blackhat Europe)大会上,一款使用人工智能和加固的虚拟环境对恶意软件样本进行分析的恶意软件分析服务SNDBOX(www.sndbox.com)出现了,SNDBOX可以对恶意软件进行静态、动态分析以及网络流量等分析。

SNDBOX

SNDBOX目前是一款在线的免费服务,网址www.sndbox.com。用户可以在网站上提交恶意软件样本进行分析。当提交了样本后,用户可以配置不同的选项,以及样本是否对其他用户公开等等。

Bleepingcomputer研究人员测试上传了一个恶意软件样本。

Submitting a file to SNDBOX

提交文件给SNDBOX

提交文件后,SNDBOX会执行并对恶意软件样本进行静态和动态分析。之后,会提供给用户一个关于恶意软件分析的报告,包括共有3个区域,分别是静态分析、动态分析和网络。

静态分析

静态分析区可以查看提交的文件信息,比如文件metadata、section table、import table、export table等。这些信息也可以通过其他恶意软件分析工具查看,SNDBOX提供的信息与这些相同。

Static analysis section of SNDBOX

静态分析部分

动态分析

动态分析部分是真正展现SNDBOX实力的部分。在执行SNDBOX分析时,会记录所有创建的文件和进程,以及系统API调用、注册表查询和修改、WMI请求等。

Dynamic analysis section of SNDBOX

动态分析部分

AI技术应用在分析样本的执行模式和代码,并将其分类为恶意软件或正常行为。比如,会将尝试清除Shadow Volume Copies的行为归为勒索软件,因为它会释放文件并加入Dropper bucket。信息窃取器Loki会被添加到Stealer bucket。

该部分会列出所有创建的文件,搜索敏感的字符串,并解码。比如,如果检测到base64编码的字符串,就可以在输出中自动解码。

最后,可以在进程执行树中双击任何节点来获取命令行、API调用、子和父进程的更多信息。

网络

网络部分中会看到运行样本过程中的所有网络流量。使用这些信息,AI可以查看一些不寻常的信息。这允许用户快速查看网络流量信息。

Network activity section

网络活动

网络活动会被分成不同的网络服务,所以用户可以关注全部,也可以关注其中的DNS流量和HTTP流量。SNDBOX会使用Suricata IDS来检测一致的恶意流量签名和模型。

Suricata and service grouping

完整JSON报告

并不是SNDBOX收集的所有信息都会展示在网站上,比如HTTP请求的POST数据就不会展示在仪表盘。

但是用户可以下载完整的JSON报告,报告中含有SNDBOX收集的所有信息。

Download Resources

下载的资源

总的来说,SNDBOX是一个非常好用的恶意软件分析工具,大家可以在www.sndbox.com上上传样本尝试。

本文翻译自:https://www.bleepingcomputer.com/news/security/sndbox-an-ai-powered-malware-analysis-site-is-launched/如若转载,请注明原文地址: https://www.4hou.com/tools/15029.html
点赞 4
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论