SNDBOX:應用AI進行惡意軟體分析
在2018歐洲黑帽(Blackhat Europe)大會上,一款使用人工智慧和加固的虛擬環境對惡意軟體樣本進行分析的惡意軟體分析服務SNDBOX(www.sndbox.com)出現了,SNDBOX可以對惡意軟體進行靜態、動態分析以及網路流量等分析。
SNDBOX目前是一款線上的免費服務,網址 ofollow,noindex">www.sndbox.com 。使用者可以在網站上提交惡意軟體樣本進行分析。當提交了樣本後,使用者可以配置不同的選項,以及樣本是否對其他使用者公開等等。
Bleepingcomputer研究人員測試上傳了一個惡意軟體樣本。
提交檔案給SNDBOX
提交檔案後,SNDBOX會執行並對惡意軟體樣本進行靜態和動態分析。之後,會提供給使用者一個關於惡意軟體分析的報告,包括共有3個區域,分別是靜態分析、動態分析和網路。
靜態分析
靜態分析區可以檢視提交的檔案資訊,比如檔案metadata、section table、import table、export table等。這些資訊也可以通過其他惡意軟體分析工具檢視,SNDBOX提供的資訊與這些相同。
靜態分析部分
動態分析
動態分析部分是真正展現SNDBOX實力的部分。在執行SNDBOX分析時,會記錄所有建立的檔案和程序,以及系統API呼叫、登錄檔查詢和修改、WMI請求等。
動態分析部分
AI技術應用在分析樣本的執行模式和程式碼,並將其分類為惡意軟體或正常行為。比如,會將嘗試清除Shadow Volume Copies的行為歸為勒索軟體,因為它會釋放檔案並加入Dropper bucket。資訊竊取器Loki會被新增到Stealer bucket。
該部分會列出所有建立的檔案,搜尋敏感的字串,並解碼。比如,如果檢測到base64編碼的字串,就可以在輸出中自動解碼。
最後,可以在程序執行樹中雙擊任何節點來獲取命令列、API呼叫、子和父程序的更多資訊。
網路
網路部分中會看到執行樣本過程中的所有網路流量。使用這些資訊,AI可以檢視一些不尋常的資訊。這允許使用者快速檢視網路流量資訊。
網路活動
網路活動會被分成不同的網路服務,所以使用者可以關注全部,也可以關注其中的DNS流量和HTTP流量。SNDBOX會使用Suricata IDS來檢測一致的惡意流量簽名和模型。
完整JSON報告
並不是SNDBOX收集的所有資訊都會展示在網站上,比如HTTP請求的POST資料就不會展示在儀表盤。
但是使用者可以下載完整的JSON報告,報告中含有SNDBOX收集的所有資訊。