在2018欧洲黑帽(Blackhat Europe)大会上,一款使用人工智能和加固的虚拟环境对恶意软件样本进行分析的恶意软件分析服务SNDBOX(www.sndbox.com)出现了,SNDBOX可以对恶意软件进行静态、动态分析以及网络流量等分析。
SNDBOX目前是一款在线的免费服务,网址www.sndbox.com。用户可以在网站上提交恶意软件样本进行分析。当提交了样本后,用户可以配置不同的选项,以及样本是否对其他用户公开等等。
Bleepingcomputer研究人员测试上传了一个恶意软件样本。
提交文件给SNDBOX
提交文件后,SNDBOX会执行并对恶意软件样本进行静态和动态分析。之后,会提供给用户一个关于恶意软件分析的报告,包括共有3个区域,分别是静态分析、动态分析和网络。
静态分析
静态分析区可以查看提交的文件信息,比如文件metadata、section table、import table、export table等。这些信息也可以通过其他恶意软件分析工具查看,SNDBOX提供的信息与这些相同。
静态分析部分
动态分析
动态分析部分是真正展现SNDBOX实力的部分。在执行SNDBOX分析时,会记录所有创建的文件和进程,以及系统API调用、注册表查询和修改、WMI请求等。
动态分析部分
AI技术应用在分析样本的执行模式和代码,并将其分类为恶意软件或正常行为。比如,会将尝试清除Shadow Volume Copies的行为归为勒索软件,因为它会释放文件并加入Dropper bucket。信息窃取器Loki会被添加到Stealer bucket。
该部分会列出所有创建的文件,搜索敏感的字符串,并解码。比如,如果检测到base64编码的字符串,就可以在输出中自动解码。
最后,可以在进程执行树中双击任何节点来获取命令行、API调用、子和父进程的更多信息。
网络
网络部分中会看到运行样本过程中的所有网络流量。使用这些信息,AI可以查看一些不寻常的信息。这允许用户快速查看网络流量信息。
网络活动
网络活动会被分成不同的网络服务,所以用户可以关注全部,也可以关注其中的DNS流量和HTTP流量。SNDBOX会使用Suricata IDS来检测一致的恶意流量签名和模型。
完整JSON报告
并不是SNDBOX收集的所有信息都会展示在网站上,比如HTTP请求的POST数据就不会展示在仪表盘。
但是用户可以下载完整的JSON报告,报告中含有SNDBOX收集的所有信息。
