در مباحث امنیت رایانه، سندباکس (Sandbox) به مکانیزمی امنیتی برای جداسازی پروسههای در حال اجرا اطلاق میشود. کاربرد اصلی سندباکسها، اجرای کدها و برنامههای نامطمئن در محیطی ایزوله است تا از بروز آسیب ناخواسته توسط این برنامهها به سیستم جلوگیری شود. سندباکسها معمولاً مجموعهای بهدقت کنترل شده از منابع (مانند فایلها، ارتباط شبکه و ...) را در اختیار برنامههای در حال اجرا قرار میدهند و از این طریق به کنترل دقیق عملکرد برنامههای در حال اجرا میپردازند. یکی از مهمترین کاربردهای سندباکس، استفاده از آنها در آزمایشهای تحلیل بدافزار به منظور بررسی رفتار بدافزارها در حین اجراست. این سندباکسها، فایل اجرایی برنامه مشکوک را دریافت کرده و با اجرای آن در یک محیط ایزوله به بررسی دقیق تمامی عملکردهای این فایل در حین اجرا میپردازند و از این طریق تحلیلگران بدافزار را در رسیدن به درک بهتر از عملکرد بدافزار یاری میکنند. سندباکس آپا، سندباکسی پرقدرت و بومی است که توسط مرکز تخصصی آپای دانشگاه صنعتی اصفهان تولید شده است. لیست قابلیتهای این سندباکس عبارتند از:
قابلیتهای واسط کاربر:
- واسط کاربری بهروز، زیبا و کارای تحت وب
- قابلیت انطباق واسط کاربری با دستگاههای همراه (موبایل، تبلت)
- قابلیت نمایش لیستی از فایلهای تحیل شده به صورتی که:
- فایلهایی که رفتار مشکوکی نداشتهاند به رنگ سبز نمایش داده میشوند.
- فایلهایی که رفتار مشکوک مختصری داشتهاند به رنگ زرد نمایش داده میشوند.
- فایلهایی که رفتار خطرناک داشتهاند به رنگ قرمر نشان داده میشوند.
که در نتیجه امکان تشخیص سریع فایلهای مهمتر به منظور تحلیل بیشتر مهیا خواهد شد
- نمایش اطلاعات کلی از تعداد کل تحلیلهای انجام شده، تعداد تحلیلهای موفق، تعداد تحلیلهای ناموفق، تعداد تحلیلهای در حال اجرا، تعداد تحلیلهای منتظر در صف و ...
- قابلیت نمایش تاریخچه و وضعیت فایلهای تحلیل شده
- قابلیت جستجو در لیست تحلیلهای انجام شده بر حسب:
- الگوی نام فایل تحلیل شده
- فرمت فایل تحلیل شده
- هش فازی ssdeep فایل تحلیل شده
- هش فایل تحلیل شذه
- CRC فایل تحلیل شده
- نام فایل باز شده توسط فایل تحلیل شده
- کلید رجیستری دسترسی شده توسط فایل تحلیل شده
- نام Mutex باز شده توسط فایل تحلیل شده
- آدرس IP دسترسی شده توسط فایل تحلیل شده
- نام دامنه Reslove شده توسط فایل تحلیل شده
- URL تحلیل شده
- امضا
- قابلیت ایجاد Tag برای تحلیلهای انجام شده به منظور جستجوی سریعتر
- قابلیت نمایش وضعیت ماشینهای تحلیلگر از لحاظ میزان بارکاری
- قابلیت تفکیک بین کاربران مدیر و کاربران عادی
- قابلیت افزودن ماشینهای تحلیلگر جدید و یا حذف ماشینهای قبلی با استفاده از واسط کاربری
- قابلیت انتخاب نوع تحلیل با استفاده از واسط کاربری:
- قابلیت انتخاب نوع تحلیل شامل اجرا بر روی ماشین مجازی و یا اجرا بر روی Wine
- قابلیت انتخاب دستی نوع فایل ارسالی
- قابلیت انتخاب تحلیل بیشتر شامل تحلیل فضای حافظه ماشین مجازی
قابلیتهای تحلیلی:
- قابلیت تحلیل در دو حالت
- تحلیل بر روی ماشین مجازی ویندوز
- تحلیل بر روی لینوکس با استفاده از شبیهساز ویندوز (Wine)
- قابلیت بارگذاری (دانلود) مسقیم فایل از URL و تحلیل آن بدون نیاز به آپلود دستی فایل
- نگهداری یک نسخه از تمامی فایلهای تحلیل شده
- قابلیت تحلیل انواع مختلف فایلها شامل:
- jar
- dll
- doc
- exe
- html
- ocx
- ps1
- vbs
- xls
- zip
- نمایش ویژگیهای فایل دریافتی شامل:
- نام فایل
- حجم فایل
- نوع فایل
- هشها شامل: md5 Sha1 Sha256 Sha512
- CRC فایل
- هش فازی SSDeep
- قابلیت مشخص کردن مدت زمان تحلیل
- قابلیت تعیین سطح الویت برای تحلیلها
- قابلیت تعیین ماشین مجازی مشخص برای تحلیل
- قابلیت تحلیل فضای حافظه پروسهی فایل تحلیل شده
- قابلیت تحلیل فضای حافظه کل سیستم عامل پس از فرآیند تحلیل
- قابلیت انطباق امضاهای Yara به منظور تشخیص بدافزارهای شناخته شده بدون نیاز به تحلیل
- نمایش Screenshot از ماشین مجازی در حین اجرای فایل بدافزار
- قابلیت ارسال فایل به سرویس Virustotal و بررسی فایل توسط بیش از ۴۰ محصول ضدبدافزار دنیا (با استفاده از اینترنت) و نمایش اطلاعات زیر:
- نام محصول ضدبدافزار
- نام بدافزار تشخیص داده شده
- دانلود نسخههای از فایلهای تولید شده توسط بدافزار در حین فرآیند تحلیل
قابلیتهای تحلیل ایستا:
- نمایش اطلاعات نسخهی فایل اجرا شده شامل؛
- اطلاعات کپیرایت
- نام داخلی فایل (نام فایل در زمان Compile)
- نسخه فایل
- نام تجاری
- نام محصول
- نسخه محصول
- نام فایل در زمان ارسال به سیستم
- نمایش Sectionهای فایل اجرا شده شامل اطلاعات برای هر Section:
- نام
- آدرس مجازی
- میزان فضای اختصاصی در حافظه مجازی
- اندازهی دیتای خام
- آنتروپی
- نمایش IAT شامل:
- لیست DLLهای مورد استفاده
- لیست توابع مورد استفاده از هر DLL
- قابلیت جستجوی هر تابع در پایگاهداده MSDN (با استفاده از اینترنت)
- نمایش لیست رشته (String)های موجود در فایل
قابلیتهای تحلیل پویا:
- قابلیت نمایش لیست پروسههای ایجاد شده توسط بدافزار
- نامهای دامنه Reslove شده در حین فرآیند تحلیل
- ارتباطات شبکه برقرار شده
- نمایش لیست APIهای فراخوانی شده توسط هر پروسه با جزئییات زیر:
- نوع کاربرد API (دسترسی به شبکه، دسترسی به سیستم فایل، رجیستری، پروسه، سرویسها، همگام سازی و غیره)
- زمان فراخوانی
- نام API
- مقادیر ورودی API
- موفقیت آمیز بودن یا نبودن فراخوانی
- مقدار خروجی API
- تعداد دفعات تکرار
- نمایش تغییرات ایجاد شده در سیستم فایل (افزودن فایل جدید، تغییر فایل، حذف فایل)
- نمایش تغییرات ایجاد شده در رجیستری ویندوز
- نمایش Mutexهای ایجاد شده و مورد استفاده
قابلیتهای تحلیل ارتباطات شبکه شامل:
- دانلود فایل PCAP کلیه بستههای مبادله شده در حین فرآیند تحلیل
- آدرس میزبانهای مقصد
- نام دامنههای Resolve شذه
- لیست ارتباطات HTTP
- لیست ارتباطات ICMP
- لیست ارتباطات IRC
قابلیتهای استقرار:
- قابلیت جداسازی سیستم واسط کاربری، سیستم پایگاه داده و سیستمهای تحلیلگر از یکدیگر و اجرای هرکدام بر روی یک میزبان جداگانه به منظور افزایش امنیت و اتکاپذیری
- قابلیت استفاده از چندین ماشین تحلیلگر به صورت همزمان به منظور افزایش سرعت
- قابلیت افزودن ماشین تحلیلگر جدید/حذف ماشین تحلیل گر