Sandbox چیست؟ و چه کاربردی دارد؟

سند باکس چیست؟

فهرست مطالب

تکنولوژی sandbox چیست ؟

یکی از پرکاربردترین سیستم‌های تشخیص و تحلیل بدافزار تکنولوژی sandbox می‌باشد. این سیستم به این صورت کار می‌کند که در ابتدا یک شی مشکوک را در ماشین مجازی( Virtual Machine ) اجرا می‌کند و این ماشین مجازی که به انواع سیستم عامل‌ها مجهز می‌باشد، روی این شی مشکوک عملیات تجزیه و تحلیل را انجام می‌دهد. سپس تشخیص می‌دهد که آیا این شی فعالیت مخرب دارد و آیا به عنوان یک بدافزار شناخته می‌شود یا خیر. این سیستم رفتار برنامه را در زمان اجرا مورد آزمایش قرار می‌دهد و این قابلیت به آنها کمک می‌کند تا بدافزارهایی که از تجزیه و تحلیل استاتیک فرار می‌کنند، نتوانند مانع تشخیص شوند. یکی از مزایای sandbox اجرای بدافزار در محیطی امن و بدون ریسک می‌باشد و در مقایسه با سایر ابزارهای تشخیص بدافزار طراحی شده امنیت بهتری به ما می‌دهد چون در زیرساخت واقعی مشکل ایجاد نمی‌کند.

مزایای sandbox چیست؟

  • برپایه سخت افزار مجازی سازی میشود که باعث سرعت بیشتر و پایداری بیشتر میشود.
  • برای تمامی سیستم عامل ها (از ویندوز XP و Windows Server 2003) تا به امروز تمامی ورژن‌ها را ساپورت میکند.
  • پشتیبانی سیستم عامل اندروید (x86, ARM processor architecture )
  • نظارت کامل بر ارتباط فرآیندهای انجام شده با سیستم عامل را دارد و حدود 30 هزار API متفاوت را میتواند نظارت کند. در مواقع مشکوک عمیق‌تر و دقیق‌تر بررسی را انجام می‌دهد.
  • استفاده از این تکنولوژی در سیستم‌های EDR یا MDR به کشف سریع‌تر تهدیدات و بدافزارها نیز کمک شایانی می‌کند.

تکنولوژی sandbox توانایی آنالیز فایل‌هایی از نوع زیر می‌باشد:

  • ویندوز : هر فایل اجرا شدنی در ویندوز مثل exe, dll,NET,PDF, Office files
  • سیستم عامل اندروید : APK
  • لینک‌ها : لینک مورد نظر واکشی شده و بر عملکرد لینک نظارت می‌کند که شامل فایل‌های دانلودی ، کد JavaScript و adobe flash  می‌باشد.

مراحل تحلیل و تشخیص بدافزار

  1. این سیستم به این صورت کار می‌کند که در ابتدا درخواست اسکن کردن فایل یا لینک را از یک نرم افزار امنیتی با این دستور العمل‌ها که شامل سیستم عامل و پیکربندی مورد نیاز این شی، مولفه‌های مورد نیاز برای اجرا شی، سایر برنامه‌های نصب شده توسط ماشین مجازی‌، محدودیت زمانی برای آزمایش و غیره دریافت می‌کند.
  2. شی تجزیه و تحلیل شده اجرا میشود.
  3. اطلاعات شی در حال اجرا را جمع آوری کرده و با پردازش‌ها و لینک‌های شناخته شده ی مخرب مقایسه می‌کند. اگر وجه شباهتی باشد آن شی را ضبط می‌کند.
  4. در مرحله آخر اطلاعات جمع آوری شده را تجزیه و تحیلیل کرده و نتیجه نهایی را به سیستم درخواست کننده برمیگرداند که آیا فایل درخواست داده شده بد افزار است یا خیر. حال sandbox همراه شی داده‌ای را اضافه میکند که شامل ID، ویژگی‌ها، گزارشات و جزئیات رفتار شی می‌باشد. این اطلاعات به سیستم درخواست کننده این امکان را می‌دهد تا بدون نیاز به درخواست جدید تجزیه و تحلیل را برای دفعات بعدی برای فایل‌های مشابه انجام دهند. اگر یک رفتار مشکوک در حین اجرا شی تشخیص داده شود، جزئیات فعالیت مشکوک را سریعا به سیستم درخواست کننده برمی‌گرداند.

عملکرد سندباکس

چه اطلاعاتی توسط sandbox جمع آوری می‌شود؟

  • گزارشات اجرای یک برنامه که شامل عملیات API و رویداد های اجرایی
  • تخلیه حافظه
  • تخلیه ماژول های بارگزاری شده
  • تغییرات در فایل سیستم
  • ترافیک شبکه
  • عکس از صفحات

جلوگیری از گریز sandbox

بدافزارهایی که امروزه تولید می‌شوند معمولا تلاش بر این دارند که از آن فرار کنند. زمانی که بد افزار تشخیص دهد که در سندباکس یا محیط دیباگر در حال اجرا شدن می‌باشد از چند تکنیک استفاده می‌کند. مثلا سعی دارد تا فعالیت‌های مشکوک انجام ندهد، خود را به صورت خودکار از حافظه پاک کند، به کار خود خاتمه دهد.

طراحی‌های اولیه sandbox بدین صورت بود که اثرهایی از خود به جا می‌گذاشت و بدافزار متوجه اجرا شدن در محیط تحلیل می‌شد. اما امروزه با پیشرفته‌تر شدن این تکنولوژی sandbox اثری از خود به جا نمی‌گذارد و بد افزار متوجه اجرا شدن در سندباکس نمی‌شود. این سیستم بر روی حافظه و پردازنده مرکزی کنترل دارد اما در روند اجرای پردازش، حافظه، کتابخانه‌های نرم افزار مستقر در حافظه عملیاتی انجام نمیدهد و اثری از نظارت خود بر جا نمی‌گذارد.

0 دیدگاه

دیدگاهتان را بنویسید

Avatar placeholder

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *