روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ سندباکس کردن یکی از مؤثرترین ابزارهای تحلیل موارد مشکوک و شناسایی رفتار مخرب است. از آن در طیف وسیعی از راهکارهای امنیتی استفاده میشود اما دقت شناسایی تهدید مستقیماً به نحوه شبیهسازی محیط سندباکس –جایی که موارد مشکوک اجرا میشوند- بستگی دارد.
سندباکس چیست و چطور کار میکند؟
سندباکس ابزاری است که محیطی ایزوله میسازد؛ در این محیط رفتار فرآیندهای مشکوک را میتوان تحلیل کرد. این معمولاً در ماشین مجازی یا کانتینر اتفاق میافتاد و همین به تحلیلگر اجازه میدهد تا موارد بالقوه مشکوک را بدون ریسک ابتلا یا آسیب محیط واقعی کار یا نشت دادههای مهم سازمانی بررسی کند. برای مثال، سندباکس در پلتفرم حملهی ضدهدفدارِ کسپرسکی (KATA[1]) به صورت زیر عمل میکند:
اگر برخی اجزای راهکار امنیتی مورد مشکوک یا خطرناکی را شناسایی کند (برای مثال فایل یا یک یوآرال) به همراه جزئیاتی از محیط کار (نسخه سیستمعامل؛ فهرست برنامههای نصبشده، تنظیمات سیستم و غیره) به سندباکس فرستاده میشود تا آنجا اسکن شود. سندباکس مورد را اجرا کرده یا یوآرال را جستوجو و همه مصنوعات را ضبط میکند:
- لاگهای اجرا شامل تماسهای API سیستم، عملیاتهای فایل، فعالیت شبکه. یوآرالها و فرآیندهایی که توسط ابژه مورد دسترسی قرار میگیرند.
- اسنپشاتهایی از سیستم و مموری.
- ابژههای ساختگی (آنپکشده یا دانلودشده)
- ترافیک شبکه
بعد از تکمیل تست سناریو، مصنوعات جمعآوریشده برای آثار فعالیت مخرب تحلیل و اسکن میشوند. اگر پیدا شوند ابژه پرچم «مخرب» میخورد و تکنیکها، تاکتیکها و روندهای شناساییشده در ماتریس MITRE ATT&CK نقشهسازی میشوند. همه دادههای بازیابیشده برای تحلیل بیشتر ذخیره میشوند.
چالشهای سندباکس
مشکل اصلی سندباکسها این است که مجرمان سایبری همهچیز در مورد آنها را میدانند و پیوسته متودهای دورزنی خود را به روز میکنند. برای دور زدن محافظت سندباکس، مهاجمین تمرکز خود را روی توسعه فناوریهایی برای شناسایی برخی قابلیتهای خاص محیطهای مجازی گذاشتهاند. آنها این کار را با جستوجو کردن مصنوعات یا وضعیتهای خاص سندباکس انجام میدهند. برنامه مخرب با شناسایی (حتی یک ظن ساده) چنین علائمی رفتار خود را تغییر داده یا دست به خودتخریبی میزند. در مورد بدافزارهایی که برای حملات هدفدار استفاده میشوند، مجرمان سایبری با دقت بسیار پیکربندی سیستم عامل و مجموعه برنامههای استفادهشده روی ماشین هدف را تحلیل میکنند. فعالیت مخرب فقط اگر نرمافزار و سیستم تماماً با توقعات مهاجم همخوانی داشته باشد هدف قرار میگیرد. بدافزار میتواند در بازههای زمانی به شدت سختگیرانه تعریفشده کار کند یا بعد از توالی خاصی از اعمال کاربر فعال شود.
چطور محیط مصنوعی را واقعیتر کنیم؟
برای فریب دادن تهدید بالقوه جهت اجرا شدن در محیطی امن، ترکیبهایی از چندین رویکرد به کار خواهد آمد:
- محیطهای مجازی متغیر و تصادفی: ایجاد چندین سندباکس با ترکیبهای مختلف تنظیمات و نرم افزارهای نصب شده
- شبیهسازی واقعی رفتار کاربر، از جمله سرعت تایپ رمز عبور، مشاهده متن، حرکت مکان نما، کلیک کردن روی موس
- استفاده از یک ماشین فیزیکی (غیر مجازی) ایزولهشده از محیط کار برای تجزیه و تحلیل اشیاء مشکوک مربوط به حملات سخت افزاری و درایورهای دستگاه
- ترکیبی از تجزیه و تحلیل استاتیک و پویا. نظارت بر رفتار سیستم در فواصل زمانی معین؛ استفاده از فناوریهای شتاب زمان در ماشینهای مجازی
- استفاده از تصاویر ایستگاههای کاری واقعی از محیط هدف شامل سیستم عامل و پیکربندی برنامهها، پلاگینها و تنظیمات امنیتی
سندباکس کسپرسکی همه این تکنیکها را پیادهسازی میکند: میتواند رفتار کاربر واقعی را شبیهسازی کند، محیطهای تصادفی را مستقر و در حالت دستی یا خودکار عمل کند. ما اخیراً راهکار شناسایی و واکنش KATA را به روز کردهایم. سندباکس یکپارچه اکنون به شما امکان میدهد از تصاویر سیستم سفارشی با انتخاب سیستم عامل (از لیست موارد سازگار) استفاده و برنامه های طرفسوم را نصب کنید.
[1] Kaspersky Anti Targeted Attack
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
