云安全
态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
新版上线|安恒云沙箱·护航数字经济健康发展!
天降邮件,岂知福祸旦夕?
注意看,这个男人叫小帅,是我的大学室友。劳动节放假前夕,我们正美滋滋地讨论劳动节出行攻略,小帅忽然收到天降邮件,然后开始鬼哭狼嚎:“劳动节值班,我不会这么倒霉吧,没有人提前通知我呀!”
夺过他的电脑阅读了邮件,我发现了一个名为“2023五一劳动节值班表.docx.exe”的附件,嗅到一些可疑的气息。谨慎起见,我赶紧控制住快要口吐芬芳的室友:“别慌,先让我的大神朋友看看你这个邮件有没有问题。”
在小帅将信将疑的眼神里,我快速上传了文件,让大神开始分析。一分钟后,看着屏幕上的报告,我毫不留情地嘲笑兄弟:“如果没有我这个大神朋友,你可就要当怨种喽!”
报告上“高危”的红色标识赫然在目,“远控木马AsyncRAT”的标签把室友吓出一身冷汗,“我的好大哥,今天晚饭我请,快告诉我这位朋友是何方大神,带带弟弟吧!”
我嘴上得意,心里暗喜。谢谢你,我的安恒云沙箱兄弟...
安恒云沙箱,总有一个功能满足你!
这位大神就是安恒云沙箱,提供文件在线分析服务,打开 https://sandbox.dbappsecurity.com.cn/,就可以查询或递交可疑文件。沙箱报告提供样本的主要信息,包括文件类型、文件大小、样本的HASH值,以及沙箱对文件的综合安全性判别:
除了综合危险指数,沙箱还会基于七大检测能力,提供恶意信息、行为内容、情报IOC等内容信息。同时,安恒云沙箱具备深度技术分析能力,可从分析结果中探查攻击细节。
当然了,运行截图里藏着情报,沙箱也不会落下:
那么问题来了,既然可以称之为“大神”,那安恒云沙箱具体可以提供哪些高价值情报呢?
01
恶意配置
安恒云沙箱集成了MCP恶意配置提取框架,可以精准提取多款恶意软件的配置,解码流行进程控制文件、商业间谍木马、勒索软件等回连通道配置信息。
也就是说,云沙箱可以精准提取真实回连地址等关键信息,使防御监测目标更加明确,从而帮助用户加速分析。
02
行为检测
基于自研珊瑚虫行为检测框架,以及安恒提取的数千条行为策略,安恒云沙箱可以精准识别恶意行为。
检测到的行为风险在威胁检出界面以“高危、中危、低危”形式展示。新版本的界面报告还提供了“高级行为图”以及“关键行为分析”两大重磅新模块。
高级行为图将关键行为以图的形式展示,能够直观高效地表现样本运行过程中的关键行为操作,分析每个进程中产生了什么恶意行为、访问了什么网络、修改了什么注册表、释放了什么文件、下载了哪些内容、服务,以及计划任务又做了哪些变化。
没错!一图抵千言,好的行为图会说话,用最直观的方式告诉你所需的信息。
(左下角有图例提示,新手小白也能看得懂~)
关键行为分析同样可以提取出上述的关键行为,同时又能够基于动静态检测,获得综合威胁指数,以判定进程及整个样本的威胁程度。
总而言之,浓缩的精华都在这里,找到关键行为分析,省时又省力,再也不用担心抓不住重点!
此外,众所周知,一些高级别病毒样本非常狡猾,已具备沙箱逃逸技术,想尽办法逃避沙箱检测。但无所谓,安恒云沙箱会出手!安恒云沙箱反复锤炼逃逸对抗能力,优化提升逃逸识别,反逃逸绕过,使样本分析完整度更高,检测结果更精准。总而言之,就是让病毒逃无可逃,无处遁形!
03
场景信息
敲重点啦!安恒云沙箱新版本推出独家秘密武器--“场景信息”!支持多项场景化分析能力,从容应对勒索、钓鱼、APT等多项专项场景,能力一览如下(详细信息可见下文):
勒索
通过多项行为以及勒索特征锁定勒索家族。提取勒索后缀、邮箱地址、钱包地址、信息网站、勒索信文件名、勒索信内容等勒索关键信息。并能够通过勒索查询获知该勒索是否可解密。
组织画像
通过多项行为以及组织特征锁定威胁组织。提取组织介绍、别名、组织归属、攻击目标地域、首次出现、最近活跃、攻击意图、目标行业、参考链接等组织关键信息。
画像信息提供攻击指向图,更直观地呈现组织的攻击态势:
邮件
通过解析提取邮件的相关信息,覆盖发件人、收件人、发件人IP、时间、主题内容等关键信息提取,提取重要附件、链接等关键附加内容,通过智能分析对附加内容进行进一步分析。
钓鱼
通过探索式挖掘可疑链接、可疑网页、图片内容锁定可疑钓鱼访问信息。能够实现二维码识别、链接提取等操作,提取钓鱼关键链接信息。
访问传输
通过聚合网络信息锁定可疑网络访问。可提取特定木马的网络回传通道、聚合网络行为信息、提取特定网络指纹。并能够通过多维度静态网络地址挖掘,进行深度分析。
04
IOC
IOC分析结果包括域名、IP、URL、文件、注册表、服务、计划任务等核心内容。安恒云沙箱集成安恒海量精准威胁情报数据,让研判证据更充分,同时大幅提升综合检测效能!
结果太多太详细?看这里!一键筛选重点IOC,轻松提取关键信息,增强快速响应能力~
05
漏洞检测
安恒云沙箱基于VID漏洞检测框架,能够覆盖主流office、PDF等漏洞检测,覆盖主流Windows内核提权漏洞检测。能够精准定位文档类应用层漏洞利用点,精准识别漏洞编号以及漏洞模块。
同时,安恒云沙箱基于内核提权流程、表现效果、关键证据等行为考量,制定了一套通用检测解决方案,能够不基于特定漏洞,以通用模式即可检测出内核提权。
因此,无论是0day/1day内核提权漏洞,安恒云沙箱都能够进行轻松检测!
06
处置建议
分析后,云沙箱还会提供处置建议,助力实现综合防护,能够在安全运营、应急处置等多种使用场景下提供可实施操作的关键信息,辅助安全运营人员进行快速分析和鉴别。
具体包括哪些建议呢?
网络可以防御监测、定位失陷主机、找到相关进程;
注册表、服务、计划任务中可能获取相关的恶意驻留程序...
HVV运营快看过来,这就是一个随时响应、智商在线的军师呀!通过对处置建议的参考,安全运营人员可以更快速地确定应对措施,优化安全策略,提高运营效率,降低应急响应时间。
应用场景
总的来说,沙箱的应用场景包含以下方面:
在此之上,沙箱具备的几个应用化能力中,首当其冲的就是针对HVV的能力,变身成一个精准和高效的可靠辅助:
针对性处理红队常用Command and Control工具
针对性地为红队ATT&CK全链路工具做检测策略
针对红队逃逸技术做深化处理
针对网络对抗做深化处理
针对HVV运营提供IOC、处置建议等便利功能
深化行为图、关键行为分析以加速分析
同时,沙箱也可以化身分析人员的左膀右臂,对高级威胁样本进行快速分析,以提升威胁分析效率:
针对APT组织TTPs做组织特性策略以精准识别
针对APT组织提供组织画像以快速掌握组织背景
针对APT组织攻击手法技巧做深度检测对抗优化
应用长期持续生产维护的APT威胁情报
IOC快速定位失陷,处置建议辅助快速应急响应
深化行为图、关键行为分析以加速分析
对于近几年呈暴发态势的勒索团伙,沙箱也已具备针对勒索攻击的分析能力:
针对性识别提取勒索后缀、邮件、勒索信、信息网站等内容
快速识别勒索是否可解密
针对勒索组织提供勒索画像以快速掌握勒索家族组织背景
针对勒索攻击手法技巧做深度检测对抗优化
工欲善其事,必先利其器,安恒云沙箱新版本已上线,欢迎各位体验!
地址:https://sandbox.dbappsecurity.com.cn/
新版本初上线,欢迎您将建议和意见反馈给我们!
联系邮箱:[email protected]
