info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

آپشن (سندباکس آپا)

در مباحث امنیت رایانه، سندباکس (Sandbox) به مکانیزمی امنیتی برای جداسازی پروسه‌های در حال اجرا اطلاق می‌شود. کاربرد اصلی سندباکس‌ها، اجرای کدها و برنامه‌های نامطمئن در محیطی ایزوله است تا از بروز آسیب ناخواسته توسط این برنامه‌ها به سیستم جلوگیری شود. سندباکس‌ها معمولاً مجموعه‌ای به‌دقت کنترل شده از منابع (مانند فایل‌ها، ارتباط شبکه و ...) را در اختیار برنامه‌های در حال اجرا قرار می‌دهند و از این طریق به کنترل دقیق عمل‌کرد برنامه‌های در حال اجرا می‌پردازند. یکی از مهم‌ترین کاربردهای سندباکس، استفاده از آن‌ها در آزمایش‌های تحلیل بدافزار به منظور بررسی رفتار بدافزارها در حین اجراست. این سندباکس‌ها، فایل اجرایی برنامه مشکوک را دریافت کرده و با اجرای آن در یک محیط ایزوله به بررسی دقیق تمامی عملکردهای این فایل در حین اجرا می‌پردازند و از این طریق تحلیل‌گران بدافزار را در رسیدن به درک بهتر از عمل‌کرد بدافزار یاری می‌کنند. سندباکس آپا، سندباکسی پرقدرت و بومی است که توسط مرکز تخصصی آپای دانشگاه صنعتی اصفهان تولید شده است. لیست قابلیت‌های این سندباکس عبارتند از:

قابلیت‌های واسط کاربر:

  • واسط کاربری به‌روز، زیبا و کارای تحت وب
  • قابلیت انطباق واسط کاربری با دستگاه‌های همراه (موبایل، تبلت)
  • قابلیت نمایش لیستی از فایل‌های تحیل شده به صورتی که:
  • فایل‌هایی که رفتار مشکوکی نداشته‌اند به رنگ سبز نمایش داده می‌شوند.
  • فایل‌هایی که رفتار مشکوک مختصری داشته‌اند به رنگ زرد نمایش داده می‌شوند.
  • فایل‌هایی که رفتار خطرناک داشته‌اند به رنگ قرمر نشان داده می‌شوند.

که در نتیجه امکان تشخیص سریع فایل‌های مهمتر به منظور تحلیل بیشتر مهیا خواهد شد

  • نمایش اطلاعات کلی از تعداد کل تحلیل‌های انجام شده، تعداد تحلیل‌های موفق، تعداد تحلیل‌های ناموفق، تعداد تحلیل‌های در حال اجرا، تعداد تحلیل‌های منتظر در صف و ...
  • قابلیت نمایش تاریخچه و وضعیت فایل‌های تحلیل شده
  • قابلیت جستجو در لیست تحلیل‌های انجام شده بر حسب:
  • الگوی نام فایل تحلیل شده
  • فرمت فایل تحلیل شده
  • هش فازی ssdeep فایل تحلیل شده
  • هش فایل تحلیل شذه
  • CRC فایل تحلیل شده
  • نام فایل باز شده توسط فایل تحلیل شده
  • کلید رجیستری دسترسی شده توسط فایل تحلیل شده
  • نام Mutex باز شده توسط فایل تحلیل شده
  • آدرس IP دسترسی شده توسط فایل تحلیل شده
  • نام دامنه Reslove شده توسط فایل تحلیل شده
  • URL تحلیل شده
  • امضا
  • قابلیت ایجاد Tag برای تحلیل‌های انجام شده به منظور جستجوی سریع‌تر
  • قابلیت نمایش وضعیت ماشین‌های تحلیل‌گر از لحاظ میزان بارکاری
  • قابلیت تفکیک بین کاربران مدیر و کاربران عادی
  • قابلیت افزودن ماشین‌های تحلیل‌گر جدید و یا حذف ماشین‌های قبلی با استفاده از واسط کاربری
  • قابلیت انتخاب نوع تحلیل با استفاده از واسط کاربری:
  • قابلیت انتخاب نوع تحلیل شامل اجرا بر روی ماشین مجازی و یا اجرا بر روی Wine
  • قابلیت انتخاب دستی نوع فایل ارسالی
  • قابلیت انتخاب تحلیل بیشتر شامل تحلیل فضای حافظه ماشین مجازی

قابلیت‌های تحلیلی:

  • قابلیت تحلیل در دو حالت
  • تحلیل بر روی ماشین مجازی ویندوز
  • تحلیل بر روی لینوکس با استفاده از شبیه‌ساز ویندوز (Wine)
  • قابلیت بارگذاری (دانلود) مسقیم فایل از URL و تحلیل آن بدون نیاز به آپلود دستی فایل
  • نگه‌داری یک نسخه از تمامی فایل‌های تحلیل شده
  • قابلیت تحلیل انواع مختلف فایل‌ها شامل:
  • jar
  • dll
  • doc
  • exe
  • html
  • ocx
  • pdf
  • ps1
  • vbs
  • xls
  • zip
  • نمایش ویژگی‌های فایل دریافتی شامل:
  • نام فایل
  • حجم فایل
  • نوع فایل
  • هش‌ها شامل: md5 Sha1 Sha256 Sha512
  • CRC فایل
  • هش‌ فازی SSDeep
  • قابلیت مشخص کردن مدت زمان تحلیل
  • قابلیت تعیین سطح الویت برای تحلیل‌ها
  • قابلیت تعیین ماشین مجازی مشخص برای تحلیل
  • قابلیت تحلیل فضای حافظه پروسه‌ی فایل تحلیل شده
  • قابلیت تحلیل فضای حافظه کل سیستم‌ عامل پس از فرآیند تحلیل
  • قابلیت انطباق امضاهای Yara به منظور تشخیص بدافزارهای شناخته شده بدون نیاز به تحلیل
  • نمایش Screenshot از ماشین مجازی در حین اجرای فایل بدافزار
  • قابلیت ارسال فایل به سرویس Virustotal و بررسی فایل توسط بیش از ۴۰ محصول ضدبدافزار دنیا (با استفاده از اینترنت) و نمایش اطلاعات زیر:
  • نام محصول ضدبدافزار
  • نام بدافزار تشخیص داده شده
  • دانلود نسخه‌های از فایل‌های تولید شده توسط بدافزار در حین فرآیند تحلیل

قابلیت‌های تحلیل ایستا:

  • نمایش اطلاعات نسخه‌ی فایل اجرا شده شامل؛
  • اطلاعات کپی‌رایت
  • نام داخلی فایل (نام فایل در زمان Compile)
  • نسخه فایل
  • نام‌ تجاری
  • نام محصول
  • نسخه محصول
  • نام فایل در زمان ارسال به سیستم
  • نمایش Sectionهای فایل اجرا شده شامل اطلاعات برای هر Section:
  • نام
  • آدرس مجازی
  • میزان فضای اختصاصی در حافظه مجازی
  • اندازه‌ی دیتای خام
  • آنتروپی
  • نمایش IAT شامل:
  • لیست DLLهای مورد استفاده
  • لیست توابع مورد استفاده از هر DLL
  • قابلیت جستجوی هر تابع در پایگاه‌داده MSDN (با استفاده از اینترنت)
  • نمایش لیست رشته (String)های موجود در فایل

قابلیت‌های تحلیل پویا:

  • قابلیت نمایش لیست پروسه‌های ایجاد شده توسط بدافزار
  • نام‌های دامنه Reslove شده در حین فرآیند تحلیل
  • ارتباطات شبکه برقرار شده
  • نمایش لیست APIهای فراخوانی شده توسط هر پروسه با جزئییات زیر:
  • نوع کاربرد API (دسترسی به شبکه، دسترسی به سیستم فایل، رجیستری، پروسه، سرویس‌ها، همگام سازی و غیره)
  • زمان فراخوانی
  • نام API
  • مقادیر ورودی‌ API
  • موفقیت آمیز بودن یا نبودن فراخوانی
  • مقدار خروجی API
  • تعداد دفعات تکرار
  • نمایش تغییرات ایجاد شده در سیستم فایل (افزودن فایل جدید، تغییر فایل، حذف فایل)
  • نمایش تغییرات ایجاد شده در رجیستری ویندوز
  • نمایش Mutexهای ایجاد شده و مورد استفاده

قابلیت‌های تحلیل ارتباطات شبکه شامل:

  • دانلود فایل PCAP کلیه بسته‌های مبادله شده در حین فرآیند تحلیل
  • آدرس میزبان‌های مقصد
  • نام دامنه‌های Resolve شذه
  • لیست ارتباطات HTTP
  • لیست ارتباطات ICMP
  • لیست ارتباطات IRC

قابلیت‌های استقرار:

  • قابلیت جداسازی سیستم واسط کاربری، سیستم پایگاه داده و سیستم‌های تحلیل‌گر از یکدیگر و اجرای هر‌کدام بر روی یک میزبان جداگانه به منظور افزایش امنیت و اتکاپذیری
  • قابلیت استفاده از چندین ماشین تحلیل‌گر به صورت هم‌زمان به منظور افزایش سرعت
  • قابلیت افزودن ماشین تحلیل‌گر جدید/حذف ماشین تحلیل گر