• Песочница

    Определение файла на вредоносный по поведенческим факторам. Запуск программы или файла в песочнице является самым эффективным на данный момент.

    1. Многие задаются вопросом защиты программного обеспечения и не важно домашний компьютер или офисный, может целая локальная сеть предприятия, все подвержены уязвимости. Не важно что в вашей системе стоит самая последняя версия самого продвинутого антивируса с многочисленными добавочными модулями защиты, скажем так, как фаерволл, облачный анализ, сканирование по базе антивирусов и так далее. Как пример может придти письмо на почту и в ней будет файл который сам не является вредоносным, но совершит действия после запуска которые откроют проход уже вирусу, подготовит так сказать поляну. Может быть что вирус совершенно новый и его нет в антивирусных базах и когда ваш компьютер будет заражен и антивирусы добавят его в базы уже будет поздно. Да много можно привести примеров почем все таки заражаются компьютеры имея самую усовершенствованную защиту и современную. Не кто не застрахован от заражения вирусом, не одна машина, есть только процент на который можно уменьшить риск заражения и чем современней защита тем меньше риск заражения. Выявить вирус можно не только что описал выше с помощью антивирусов, даже есть сервисы он лайн которые могут проверить файл всеми антивирусами сразу, я рассказывал в статье "Проверить файл всеми антивирусами сразу" но это тоже не дает гарантии на все 100%, я говорил об этом выше, пусть в место одного антивируса будут 50 они антивирусы. Не кто не может дать все 100% защиты для выявления и добавления процентов к вашей защите, хочу предложить ознакомиться с выявлением зловредный по поведенческим факторам, как это я расскажу и приведу пример.
    2. Выявление зловредный по поведенческим факторам:

    3. Выявление зловредный по поведенческим факторам это простой так сказать процесс или действия которые не требуют от пользователя каких дополнительных навыков чем пользователь пк и интернет. Скажем вирусы шифровальщики которые агрессивно себя ведут уже долгое время, заражая компьютеры шифруя файлы пользователя и требуя выкуп. Не так то просто их расшифровать и из 10 зашифрованных компьютеров вернуть файлы получается 0,5 это даже не один компьютер а половина компьютера скажем так, потому что все файлы не расшифровать. Такой вирус не подаст не каких признаков пока не зашифрует файлы и потом покажет сообщение о выкупе, собственно более близко с такими вирусами познакомится можно на нашем блоге в разделе криптография. Там рассказывается как выявить и какие меры можно предпринять для расшифровки и их поверьте очень мало и не очень они эффективны. На то и шифрование чтобы его не взломать было и не важно на хорошую сторону направленно или на плохую, шифрование делается не зависимо от стороны. Пример приходит на вашу почту файл и он не является вирусом, он является загрузчиком вируса. Антивирусы его не как не определят и не заблокируют запуск. Такое действие можно проверить только по поведенческим факторам, но если их проверять на вашей машине(компьютере) то результат будет и узнаете является он загрузчиком или нет, но пострадает ваша машина. Для выявления поведенческих факторов файла или программы специально созданы песочницы, в которых запускается файл или программа и смотрится что он делает какие действия. Это все фиксируется и вы остаетесь в полной безопасности а точнее ваш компьютер и результат теста на лицо, имеете информацию насколько это файл а точнее чем является. Добавлю что само действие шифрование не является вирусом и выявить шифровальщика слишком трудно!
    4. Обзор песочницы:

    5. Я приведу пример в пошаговом обзоре на системе песочницы скажем так, Hybrid Analysis. Вообще песочниц для выявления поведенческих факторов много, но они отличаются функционалом и платными функциями, в конце статьи я выложу ссылки на все песочницы которые знаю. Выбрал для примера песочницу Hybrid Analysis потому что именно по моему мнению она самая эффективная в пользу выявления и менее платных функций, собственно можно работать с ней бесплатно. Есть конечно песочница Threat Grid от Cisco которая платная и имеет только тестовый период, если взять мою оценку что выбрал я, то выбрал Threat Grid если нуждался. Но мне пока хватает именно Hybrid Analysis с его бесплатным функционалом который не плохо выявляет поведенческие факторы, не хуже платных аналогов. Если у Вас есть огромная компания и куча компьютерной техники а она есть техника в крупной компании точно, тогда однозначно Cisco. Для обычных пользователей и компаний не сильно развитых таких скажем как не большое помещение продажи дневных кремов для кожи, то не думаю что на Вас будет сильная атака вымогателей. Собственно хватит трепа и пора примеры приводить.
    6. Пример выявления поведенческих факторов на Hybrid Analysis

    7. Переходим на сайт Hybrid Analysis ссылку выложу в конце статьи и можно конечно не регистрироваться, но лучше это сделать, тем более что регистрация не занимает много времени, простое подтверждение по почте как обычно. В интерфейсе после регистрации Hybrid Analysis нет ничего сложного и справится любой пользователь как писал выше любого уровня, самое главное чтобы умел просматривать интернет, серфинг скажем так, этого достаточно. Для начала выявления поведенческих факторов можно перенести файл используя знакомую думаю всем функцию Drag and Drop или нажать на поле куда перетаскивать файл и выбрать из открывшегося окна проводника. все очень просто и все кто работал с компьютером видел такие окошки, встречал.
    8. 1.) Перетащить в это поле анализируемый файл Drag and Drop или кликнуть по полю и выбрать в открывшемся окне проводника, файл на компьютере.
    9. 2.) Вставить ссылку на загрузку архива с файлом из облака или другова места в интернете.
    10. картинка ниже:
    11. После выбора нужного файла для выявления поведенческих факторов в песочнице, я буду называть файл для анализа. Откроется окно где выставляете галочки на против пунктов:
    12. 1.) Не отправляйте мой образец неаффилированным третьим лицам.
    13. 2.) Разрешить членам сообщества доступ к образцу.
    14. 3.) принимаете лицензионное соглашение использование песочницы.
    15. 4.) капча от Google что вы не бот.
    16. Нажимаете кнопку Continue для продолжения. Картинка ниже:
    17. Откроется еще одно окно в котором надо выбрать систему на которой будет проводится анализ загруженного файла, для выявления поведенческих факторов. Как он поведет себя если его запустить в одной из выбранных Вами системе, после этого будет предоставлен отчет о том какие операции выполнялись и каков итог. Для выбора операционной системы, Вы можете поставить галочку если знаете для какой ос был написан анализируемый файл или выберите ту для которой был скачан этот файл или на какую почту пришло письмо с этим файлом. Для примера выбрана система Windows 7 32bit:
    18. Если нужны дополнительные опции нажимаете на картинке выше на кнопку "Runtime Options" тогда откроется окно с дополнительными опциями, картинка ниже и на ней все понятно описывать не буду? нажимаете создать открытый отчет или выбираете наоборот в этой же кнопке :
    19. После подтверждения всех настроек и выбора показанных на картинка выше, запуститься сам процесс анализа, надо дождаться окончания и посмотреть отчет. Песочница сама в принципе выберет как производить анализ и для моего файла, видимо он уже сканировался хватило запуска на поведенческие факторы и анализ Virus Total всеми антивирусами.
    20. 1.) указал название вируса
    21. 2.) какое шифрование применялось для архивирования архива
    22. 3.) Ссылка на Virus Total
    23. Если файл действительно серьезный и имеет серьезность скажем так шифровальщика, тогда будет показано еще и запись действий в виртуальной машине, как все это происходило. Если файл имеет тип документа тогда тоже будет показан скриншот выполнения файла в среде ос песочницы, отчет также зависит от анализируемого файла. Анализ макросов в файлах офиса:
    24. Не плохой пример я показал для выявления подозрительных файлов на наличие зло вреда. Конечно многие скажут что это долго и неудобно, неудобно будет восстанавливать информацию если она будет зашифрована. Эти меры предосторожности не помешают не домашнему пользователю и не бизнесу а только пойдут на пользу, вить профилактика куда более легче чем потом само лечение и восстановление после болезни. Я не говорю чтобы Вы сканировали таким образом все файлы, но если пришел по почте подозрительный файл, с двойным расширением или как то еще показался вам подозрительным, выявите его поведенческие факторы, поймите по его поведению в его привычной среде что это за файл.
    25. Видео по песочнице Threat Grid от Cisco

    26. Выше Я упоминал песочницу для выявления поведенческих факторов от Cisco и хочу предложить ко всему выше описанному обзору дополнить видео файлом от Threat Grid. Я думаю после просмотра этого видео Вы поймете и будет с чем сравнить и тем более будет полон весь так сказать смысл работы песочниц, смотрим ниже:
    27. Если остаются вопросы то прошу к комментарий ниже их там на ваш выбор аж три штуки. Также как и обещал привожу ссылки для перехода по песочницам.

    28. Ссылки упоминающиеся в статье:

      Перейти Hybrid Analysis.
      Перейти Threat Grid от Cisco.
      Перейти Malwr.
      Перейти Reverse, полностью бесплатна, Hybrid Analysis.