SNDBOX:应用AI进行恶意软件分析

在2018欧洲黑帽(Blackhat Europe)大年夜会上,一款应用人工智能和加固的虚拟情况对恶意软件样本进行阐发的恶意软件阐发办事SNDBOX(www.sndbox.com)呈现了,SNDBOX可以对恶意软件进行静态、动态阐发以及收集流量等阐发

SNDBOX今朝是一款在线的免费办事,网址www.sndbox.com用户可以在网站上提反目意软件样本进行阐发当提交了样本后,用户可以设置设置设备摆设摆设不合的选项,以及样本是否对其他用户公开等等

Bleepingcomputer钻研职员测试上传了一个恶意软件样本

提交文件给SNDBOX

提交文件后,SNDBOX会履行并对恶意软件样本进行静态和动态阐发之后,会供给给用户一个关于恶意软件阐发的申报,包括共有3个区域,分手是静态阐发、动态阐发和收集

静态阐发

静态阐发区可以查看提交的文件信息,比如文件metadata、section table、import table、export table等这些信息也可以经由过程其他恶意软件阐发对象查看,SNDBOX供给的信息与这些相同

静态阐发部分

动态阐发

动态阐发部分是真正展现SNDBOX实力的部分在履行SNDBOX阐发时,会记录所有创建的文件和进程,以及系统API调用、注册表查询和改动、WMI哀求等

动态阐发部分

AI技巧利用在阐发样本的履行模式和代码,并将其分类为恶意软件或正常行径比如,会将考试测验清除Shadow Volume Copies的行径归为打单软件,由于它会开释文件并加入Dropper bucket信息偷取器Loki会被添加到Stealer bucket

该部分会列出所有创建的文件,搜索敏感的字符串,并解码比如,假如检测到base64编码的字符串,就可以在输出中自动解码

着末,可以在进程履行树中双击任何节点来获取敕令行、API调用、子和父进程的更多信息

收集

收集部分中会看到运行样本历程中的所有收集流量应用这些信息,AI可以查看一些不平常的信息这容许用户快速查看收集流量信息

收集活动

收集活动会被分成不合的收集办事,以是用户可以关注整个,也可以关注此中的DNS流量和HTTP流量SNDBOX会应用Suricata IDS来检测同等的恶意流量署名和模型

完备JSON申报

并不是SNDBOX网络的所有信息都邑展示在网站上,比如HTTP哀求的POST数据就不会展示在仪表盘

然则用户可以下载完备的JSON申报,申报中含有SNDBOX网络的所有信息

下载的资本

总的来说,SNDBOX是一个异常好用的恶意软件阐发对象,大年夜家可以在www.sndbox.com上上传样本考试测验

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包