AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
新版上線|安恒云沙箱·護航數字經濟健康發展!
天降郵件,豈知福禍旦夕?
注意看,這個男人叫小帥,是我的大學室友。勞動節放假前夕,我們正美滋滋地討論勞動節出行攻略,小帥忽然收到天降郵件,然后開始鬼哭狼嚎:“勞動節值班,我不會這么倒霉吧,沒有人提前通知我呀!”
奪過他的電腦閱讀了郵件,我發現了一個名為“2023五一勞動節值班表.docx.exe”的附件,嗅到一些可疑的氣息。謹慎起見,我趕緊控制住快要口吐芬芳的室友:“別慌,先讓我的大神朋友看看你這個郵件有沒有問題。”
在小帥將信將疑的眼神里,我快速上傳了文件,讓大神開始分析。一分鐘后,看著屏幕上的報告,我毫不留情地嘲笑兄弟:“如果沒有我這個大神朋友,你可就要當怨種嘍!”
報告上“高危”的紅色標識赫然在目,“遠控木馬AsyncRAT”的標簽把室友嚇出一身冷汗,“我的好大哥,今天晚飯我請,快告訴我這位朋友是何方大神,帶帶弟弟吧!”
我嘴上得意,心里暗喜。謝謝你,我的安恒云沙箱兄弟...
安恒云沙箱,總有一個功能滿足你!
這位大神就是安恒云沙箱,提供文件在線分析服務,打開 https://sandbox.dbappsecurity.com.cn/,就可以查詢或遞交可疑文件。沙箱報告提供樣本的主要信息,包括文件類型、文件大小、樣本的HASH值,以及沙箱對文件的綜合安全性判別:
除了綜合危險指數,沙箱還會基于七大檢測能力,提供惡意信息、行為內容、情報IOC等內容信息。同時,安恒云沙箱具備深度技術分析能力,可從分析結果中探查攻擊細節。
當然了,運行截圖里藏著情報,沙箱也不會落下:
那么問題來了,既然可以稱之為“大神”,那安恒云沙箱具體可以提供哪些高價值情報呢?
01
惡意配置
安恒云沙箱集成了MCP惡意配置提取框架,可以精準提取多款惡意軟件的配置,解碼流行進程控制文件、商業間諜木馬、勒索軟件等回連通道配置信息。
也就是說,云沙箱可以精準提取真實回連地址等關鍵信息,使防御監測目標更加明確,從而幫助用戶加速分析。
02
行為檢測
基于自研珊瑚蟲行為檢測框架,以及安恒提取的數千條行為策略,安恒云沙箱可以精準識別惡意行為。
檢測到的行為風險在威脅檢出界面以“高危、中危、低危”形式展示。新版本的界面報告還提供了“高級行為圖”以及“關鍵行為分析”兩大重磅新模塊。
高級行為圖將關鍵行為以圖的形式展示,能夠直觀高效地表現樣本運行過程中的關鍵行為操作,分析每個進程中產生了什么惡意行為、訪問了什么網絡、修改了什么注冊表、釋放了什么文件、下載了哪些內容、服務,以及計劃任務又做了哪些變化。
沒錯!一圖抵千言,好的行為圖會說話,用最直觀的方式告訴你所需的信息。
(左下角有圖例提示,新手小白也能看得懂~)
關鍵行為分析同樣可以提取出上述的關鍵行為,同時又能夠基于動靜態檢測,獲得綜合威脅指數,以判定進程及整個樣本的威脅程度。
總而言之,濃縮的精華都在這里,找到關鍵行為分析,省時又省力,再也不用擔心抓不住重點!
此外,眾所周知,一些高級別病毒樣本非常狡猾,已具備沙箱逃逸技術,想盡辦法逃避沙箱檢測。但無所謂,安恒云沙箱會出手!安恒云沙箱反復錘煉逃逸對抗能力,優化提升逃逸識別,反逃逸繞過,使樣本分析完整度更高,檢測結果更精準。總而言之,就是讓病毒逃無可逃,無處遁形!
03
場景信息
敲重點啦!安恒云沙箱新版本推出獨家秘密武器--“場景信息”!支持多項場景化分析能力,從容應對勒索、釣魚、APT等多項專項場景,能力一覽如下(詳細信息可見下文):
勒索
通過多項行為以及勒索特征鎖定勒索家族。提取勒索后綴、郵箱地址、錢包地址、信息網站、勒索信文件名、勒索信內容等勒索關鍵信息。并能夠通過勒索查詢獲知該勒索是否可解密。
組織畫像
通過多項行為以及組織特征鎖定威脅組織。提取組織介紹、別名、組織歸屬、攻擊目標地域、首次出現、最近活躍、攻擊意圖、目標行業、參考鏈接等組織關鍵信息。
畫像信息提供攻擊指向圖,更直觀地呈現組織的攻擊態勢:
郵件
通過解析提取郵件的相關信息,覆蓋發件人、收件人、發件人IP、時間、主題內容等關鍵信息提取,提取重要附件、鏈接等關鍵附加內容,通過智能分析對附加內容進行進一步分析。
釣魚
通過探索式挖掘可疑鏈接、可疑網頁、圖片內容鎖定可疑釣魚訪問信息。能夠實現二維碼識別、鏈接提取等操作,提取釣魚關鍵鏈接信息。
訪問傳輸
通過聚合網絡信息鎖定可疑網絡訪問。可提取特定木馬的網絡回傳通道、聚合網絡行為信息、提取特定網絡指紋。并能夠通過多維度靜態網絡地址挖掘,進行深度分析。
04
IOC
IOC分析結果包括域名、IP、URL、文件、注冊表、服務、計劃任務等核心內容。安恒云沙箱集成安恒海量精準威脅情報數據,讓研判證據更充分,同時大幅提升綜合檢測效能!
結果太多太詳細?看這里!一鍵篩選重點IOC,輕松提取關鍵信息,增強快速響應能力~
05
漏洞檢測
安恒云沙箱基于VID漏洞檢測框架,能夠覆蓋主流office、PDF等漏洞檢測,覆蓋主流Windows內核提權漏洞檢測。能夠精準定位文檔類應用層漏洞利用點,精準識別漏洞編號以及漏洞模塊。
?同時,安恒云沙箱基于內核提權流程、表現效果、關鍵證據等行為考量,制定了一套通用檢測解決方案,能夠不基于特定漏洞,以通用模式即可檢測出內核提權。
?因此,無論是0day/1day內核提權漏洞,安恒云沙箱都能夠進行輕松檢測!
06
處置建議
分析后,云沙箱還會提供處置建議,助力實現綜合防護,能夠在安全運營、應急處置等多種使用場景下提供可實施操作的關鍵信息,輔助安全運營人員進行快速分析和鑒別。
具體包括哪些建議呢?
網絡可以防御監測、定位失陷主機、找到相關進程;
注冊表、服務、計劃任務中可能獲取相關的惡意駐留程序...
HVV運營快看過來,這就是一個隨時響應、智商在線的軍師呀!通過對處置建議的參考,安全運營人員可以更快速地確定應對措施,優化安全策略,提高運營效率,降低應急響應時間。
應用場景
總的來說,沙箱的應用場景包含以下方面:
在此之上,沙箱具備的幾個應用化能力中,首當其沖的就是針對HVV的能力,變身成一個精準和高效的可靠輔助:
針對性處理紅隊常用Command and Control工具
針對性地為紅隊ATT&CK全鏈路工具做檢測策略
針對紅隊逃逸技術做深化處理
針對網絡對抗做深化處理
針對HVV運營提供IOC、處置建議等便利功能
深化行為圖、關鍵行為分析以加速分析
同時,沙箱也可以化身分析人員的左膀右臂,對高級威脅樣本進行快速分析,以提升威脅分析效率:
針對APT組織TTPs做組織特性策略以精準識別
針對APT組織提供組織畫像以快速掌握組織背景
針對APT組織攻擊手法技巧做深度檢測對抗優化
應用長期持續生產維護的APT威脅情報
IOC快速定位失陷,處置建議輔助快速應急響應
深化行為圖、關鍵行為分析以加速分析
對于近幾年呈暴發態勢的勒索團伙,沙箱也已具備針對勒索攻擊的分析能力:
針對性識別提取勒索后綴、郵件、勒索信、信息網站等內容
快速識別勒索是否可解密
針對勒索組織提供勒索畫像以快速掌握勒索家族組織背景
針對勒索攻擊手法技巧做深度檢測對抗優化
工欲善其事,必先利其器,安恒云沙箱新版本已上線,歡迎各位體驗!
地址:https://sandbox.dbappsecurity.com.cn/
新版本初上線,歡迎您將建議和意見反饋給我們!
聯系郵箱:sandbox@dbappsecurity.com.cn
