روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ سندباکس کردن یکی از مؤثرترین ابزارهای تحلیل موارد مشکوک و شناسایی رفتار مخرب است. از آن در طیف وسیعی از راهکارهای امنیتی استفاده می‌شود اما دقت شناسایی تهدید مستقیماً به نحوه شبیه‌سازی محیط سندباکس –جایی که موارد مشکوک اجرا می‌شوند- بستگی دارد.

سندباکس چیست و چطور کار می‌کند؟

 سندباکس ابزاری است که محیطی ایزوله می‌سازد؛ در این محیط رفتار فرآیندهای مشکوک را می‌توان تحلیل کرد. این معمولاً در ماشین مجازی یا کانتینر اتفاق می‌افتاد و همین به تحلیلگر اجازه می‌دهد تا موارد بالقوه مشکوک را بدون ریسک ابتلا یا آسیب محیط واقعی کار یا نشت داده‌های مهم سازمانی بررسی کند. برای مثال، سندباکس در پلت‌فرم حمله‌ی ضدهدف‌دارِ کسپرسکی (KATA[1]) به صورت زیر عمل می‌کند:

اگر برخی اجزای راهکار امنیتی مورد مشکوک یا خطرناکی را شناسایی کند (برای مثال فایل یا یک یوآرال) به همراه جزئیاتی از محیط کار (نسخه سیستم‌عامل؛ فهرست برنامه‌های نصب‌شده، تنظیمات سیستم و غیره) به سندباکس فرستاده می‌شود تا آنجا اسکن شود. سندباکس مورد را اجرا کرده یا یوآرال را جست‌وجو و همه مصنوعات را ضبط می‌کند:

•         لاگ‌های اجرا شامل تماس‌های API سیستم، عملیات‌های فایل، فعالیت شبکه. یوآرال‌ها و فرآیندهایی که توسط ابژه مورد دسترسی قرار می‌گیرند.
•         اسنپ‌شات‌هایی از سیستم و مموری.
•         ابژه‌های ساختگی (آن‌پک‌شده یا دانلودشده)
•         ترافیک شبکه

بعد از تکمیل تست سناریو، مصنوعات جمع‌آوری‌شده برای آثار فعالیت مخرب تحلیل و اسکن می‌شوند. اگر پیدا شوند ابژه پرچم «مخرب» می‌خورد و تکنیک‌ها، تاکتیک‌ها و روندهای شناسایی‌شده در ماتریس MITRE ATT&CK نقشه‌سازی می‌شوند. همه داده‌های بازیابی‌شده برای تحلیل بیشتر ذخیره می‌شوند.

چالش‌های سندباکس

مشکل اصلی سندباکس‌ها این است که مجرمان سایبری همه‌چیز در مورد آن‌ها را می‌دانند و پیوسته متودهای دورزنی خود را به روز می‌کنند. برای دور زدن محافظت سندباکس، مهاجمین تمرکز خود را روی توسعه فناوری‌هایی برای شناسایی برخی قابلیت‌های خاص محیط‌های مجازی گذاشته‌اند. آن‌ها این کار را با جست‌وجو کردن مصنوعات یا وضعیت‌های خاص سندباکس انجام می‌دهند. برنامه مخرب با شناسایی (حتی یک ظن ساده) چنین علائمی رفتار خود را تغییر داده یا دست به خودتخریبی می‌زند. در مورد بدافزارهایی که برای حملات هدف‌دار استفاده می‌شوند، مجرمان سایبری با دقت بسیار پیکربندی سیستم عامل و مجموعه برنامه‌های استفاده‌شده روی ماشین هدف را تحلیل می‌کنند. فعالیت مخرب فقط اگر نرم‌افزار و سیستم تماماً با توقعات مهاجم همخوانی داشته باشد هدف قرار می‌گیرد. بدافزار می‌تواند در بازه‌های زمانی به شدت سختگیرانه تعریف‌شده کار کند یا بعد از توالی خاصی از اعمال کاربر فعال شود.

چطور محیط مصنوعی را واقعی‌تر کنیم؟

برای فریب دادن تهدید بالقوه جهت اجرا شدن در محیطی امن، ترکیب‌هایی از چندین رویکرد به کار خواهد آمد:

•         محیط‌های مجازی متغیر و تصادفی: ایجاد چندین سندباکس با ترکیب‌های مختلف تنظیمات و نرم افزارهای نصب شده
•         شبیه‌سازی واقعی رفتار کاربر، از جمله سرعت تایپ رمز عبور، مشاهده متن، حرکت مکان نما، کلیک کردن روی موس
•         استفاده از یک ماشین فیزیکی (غیر مجازی) ایزوله‌شده از محیط کار برای تجزیه و تحلیل اشیاء مشکوک مربوط به حملات سخت افزاری و درایورهای دستگاه
•         ترکیبی از تجزیه و تحلیل استاتیک و پویا. نظارت بر رفتار سیستم در فواصل زمانی معین؛ استفاده از فناوری‌های شتاب زمان در ماشین‌های مجازی
•         استفاده از تصاویر ایستگاه‌های کاری واقعی از محیط هدف شامل سیستم عامل و پیکربندی برنامه‌ها، پلاگین‌ها و تنظیمات امنیتی

سندباکس کسپرسکی همه این تکنیک‌ها را پیاده‌سازی می‌کند: می‌تواند رفتار کاربر واقعی را شبیه‌سازی کند، محیط‌های تصادفی را مستقر و در حالت دستی یا خودکار عمل کند. ما اخیراً راهکار شناسایی و واکنش KATA را به روز کرده‌ایم. سندباکس یکپارچه اکنون به شما امکان می‌دهد از تصاویر سیستم سفارشی با انتخاب سیستم عامل (از لیست موارد سازگار) استفاده و برنامه های طرف‌سوم را نصب کنید.

[1] Kaspersky Anti Targeted Attack

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.