2 วิธีในการวิเคราะห์พฤติกรรมของแอปพลิเคชั่น Sandboxed ใน Sandbox

2019-11-30 19:47:02
หลัก·ซอฟต์แวร์·2 วิธีในการวิเคราะห์พฤติกรรมของแอปพลิเคชั่น Sandboxed ใน Sandbox

การตัดสินใจว่าไฟล์นั้นติดไวรัสหรือปลอดภัยจากผลการสแกน VirusTotal อาจทำให้หงุดหงิดเมื่อไวรัสครึ่งหนึ่งแสดงให้เห็นว่าไฟล์นั้นติดไวรัสในขณะที่อีกครึ่งหนึ่งแสดงว่าไฟล์นั้นสะอาด

คุณสามารถลองวิเคราะห์ไฟล์ที่ตรวจพบครึ่งโดยใช้บริการแซนด์บ็อกซ์ออนไลน์เช่น ThreatExpert แต่รายงานจะแสดงเฉพาะพฤติกรรมของโปรแกรมเมื่อเริ่มต้นและไม่ได้บอกคุณว่าจะทำอย่างไรเมื่อเปิดใช้งานตัวเลือกหรือเมื่อคลิกปุ่มบนโปรแกรม .

นี่คือเมื่อซอฟต์แวร์ Sandbox เช่น Sandboxie มาเล่นโดยอนุญาตให้คุณเรียกใช้โปรแกรมใด ๆ ในคอมพิวเตอร์ของคุณไม่ว่าจะปลอดภัยหรือติดไวรัสและการเปลี่ยนแปลงใด ๆ ที่ยังคงไม่ส่งผลกระทบต่อคอมพิวเตอร์ของคุณ

แม้ว่า Sandboxie ส่วนใหญ่จะใช้เพื่อให้คอมพิวเตอร์ของคุณปลอดภัยโดยการเรียกใช้โปรแกรมในพื้นที่แยกมันยังสามารถใช้ในการวิเคราะห์พฤติกรรมของโปรแกรม ต่อไปนี้เป็นวิธีการตรวจสอบการเปลี่ยนแปลงที่เกิดขึ้นกับระบบคอมพิวเตอร์ของคุณโดยโปรแกรมที่เรียกใช้ภายใน Sandbox

การวิเคราะห์อัตโนมัติโดยใช้ Buster Sandbox Analyzer

Buster Sandbox Analyzer (BSA) เป็นเครื่องมือฟรีที่สามารถใช้ดูการกระทำของกระบวนการใด ๆ ที่ทำงานภายใน Sandbox แม้ว่า BSA เป็นซอฟต์แวร์พกพา แต่ไม่สามารถใช้งานได้ทันทีและต้องการการกำหนดค่าครั้งเดียวด้วยตนเองเพื่อโหลดไฟล์ BSA DLL ด้วยการเพิ่ม 3 บรรทัดในไฟล์กำหนดค่า INI ของ Sandboxie

โปรดทราบว่าหากคุณจะปฏิบัติตามคำแนะนำการติดตั้งจากเว็บไซต์อย่างเป็นทางการคุณต้องแตกโฟลเดอร์ Buster Sandbox Analyzer ไปที่รูทของไดรฟ์ C: \ เมื่อเสร็จแล้วให้เรียกใช้ไฟล์ที่ปฏิบัติการได้ของ BSA.EXE จากโฟลเดอร์ C: \ bsa และคุณจะต้องป้อนเส้นทางของโฟลเดอร์แซนด์บ็อกซ์เพื่อตรวจสอบว่าเป็นที่ตั้งของโฟลเดอร์แซนด์บ็อกซ์ของ Sandbox หรือไม่ ในการรับตำแหน่งให้เปิดตัวควบคุม Sandboxie โดยดับเบิลคลิกที่ไอคอนถาดว่าวสีเหลืองจากพื้นที่แจ้งเตือนลากโปรแกรมใด ๆ แล้ววางลงในกล่องเริ่มต้นของ Sandbox ตอนนี้คลิกขวาที่กล่องเริ่มต้น Sandbox ที่หน้าต่างควบคุมและเลือก“ สำรวจเนื้อหา”

หน้าต่าง explorer จะเปิดขึ้นพร้อมกับพา ธ ไปที่ sandbox ซึ่งคุณสามารถคัดลอกและวางไปที่“ โฟลเดอร์ Sandbox เพื่อตรวจสอบ” คลิกปุ่มเริ่มการวิเคราะห์บน Buster Sandbox Analyzer และตอนนี้คุณสามารถรันโปรแกรมที่คุณต้องการวิเคราะห์ใน Sandbox เมื่อโปรแกรมทำงานภายใต้ Sandboxie คุณจะเห็นหน้าต่างบันทึกการโทร API ใน BSA ที่เต็มไปด้วยข้อมูล

เมื่อคุณทดสอบโปรแกรมเสร็จแล้วและต้องการวิเคราะห์พฤติกรรมของโปรแกรมคุณจะต้องยุติกระบวนการจากตัวควบคุม Sandboxie โดยคลิกขวาและเลือก“ ยุติโปรแกรม” กลับไปที่ Buster Sandbox Analyzer แล้วคลิกปุ่มเสร็จสิ้นการวิเคราะห์ คลิกที่ Viewer ที่แถบเมนูและเลือก View Analysis ไฟล์ข้อความการวิเคราะห์จะเปิดขึ้นเพื่อแสดงรายงานโดยละเอียดเกี่ยวกับการกระทำจากโปรแกรมที่คุณใช้ใน Sandbox

ภาพหน้าจอด้านล่างเป็นตัวอย่างของการกระทำที่สร้างโดย DarkComet RAT มันจะตรวจสอบ debuggers, ซอฟแวร์ตัวจัดการงาน, การสร้างเริ่มอัตโนมัติในรีจิสทรี, การกดแป้นพิมพ์, การยกระดับสิทธิ์, ปิดการใช้งาน regedit & ตัวจัดการงานและเชื่อมต่อกับโฮสต์ระยะไกลด้วยหมายเลขพอร์ต

หมายเหตุเพิ่มเติม : มัลแวร์บางตัวมีฟังก์ชั่นการต่อต้านการดีบั๊กซึ่งจะปิดตัวเองโดยอัตโนมัติเมื่อมันถูกเรียกใช้ในเครื่องมือการดีบักหรือเครื่องเสมือนเพื่อป้องกันการวิเคราะห์หรือเพื่อหลอกลวงผู้ใช้ที่มีประสบการณ์น้อยกว่าคิดว่าไฟล์นั้นปลอดภัย Buster Sandbox Analyzer นั้นล้ำหน้ากว่าเกมอย่างแน่นอนเพราะมีการอัปเดตอย่างน้อยเดือนละครั้งเพื่อป้องกันมัลแวร์ไม่ให้รับรู้ว่าเป็นเครื่องมือดีบั๊ก

ดาวน์โหลด Buster Sandbox Analyzer

การวิเคราะห์ด้วยตนเอง

การวิเคราะห์พฤติกรรมของโปรแกรมด้วยตนเองจาก Sandboxie เป็นไปได้โดยไม่ต้องใช้เครื่องมือของบุคคลที่สาม แต่คุณจะไม่ได้รับการวิเคราะห์อย่างละเอียดเทียบกับการใช้ Buster Sandbox Analyzer คุณสามารถค้นหาได้อย่างง่ายดายว่าแอปพลิเคชั่นแซนด์บ็อกซ์ถูกตั้งโปรแกรมให้วางไฟล์เพิ่มเติมใด ๆ ลงในฮาร์ดไดรฟ์และเพิ่มค่าเริ่มต้นอัตโนมัติในรีจิสทรีซึ่งมีหลักฐานเพียงพอที่จะพิจารณาว่าโปรแกรมนั้นเป็นอันตรายหรือไม่

หากต้องการดูการเปลี่ยนแปลงไฟล์ให้คลิกขวาที่หน้าต่าง DefaultBox จากหน้าต่างควบคุม Sandboxie และเลือก“ สำรวจเนื้อหา” หรืออีกวิธีหนึ่งโดยตรงไปที่ C: \ Sandbox \ [ชื่อผู้ใช้] \ DefaultBox \ หากคุณเห็นโฟลเดอร์ใด ๆ เช่น "ไดรฟ์" หรือ "ผู้ใช้" ก็หมายความว่าแอปพลิเคชันแซนด์บ็อกซ์ได้สร้างไฟล์บางไฟล์ในฮาร์ดไดรฟ์ เข้าถึงโฟลเดอร์ต่อไปจนกว่าคุณจะเห็นไฟล์บางไฟล์ ด้านล่างนี้เป็นตัวอย่างของพฤติกรรมที่น่าสงสัยที่แอปพลิเคชันแบบแซนด์บ็อกซ์รันจากเดสก์ท็อปจะสร้างสำเนาตัวเองอีกชุดหนึ่งไปยังโฟลเดอร์ข้อมูลแอปพลิเคชันของผู้ใช้ปัจจุบัน

สำหรับการวิเคราะห์การเปลี่ยนแปลงรีจิสตรีคุณจะต้องยกเลิกโปรแกรมจากแซนด์บ็อกซ์คอนโทรลก่อน กด WIN + R เพื่อเปิดหน้าต่าง Run พิมพ์ regedit แล้วคลิกตกลง ขยายโฟลเดอร์รีจิสตรี HKEY_USERS โดยดับเบิลคลิกที่ไฟล์คลิกที่ไฟล์จากแถบเมนูและเลือก โหลดไฮฟ์ เรียกดู C: \ Sandbox \ [ชื่อผู้ใช้] \ DefaultBox \ และเปิด RegHive โดยไม่มีนามสกุลไฟล์ใด ๆ ป้อนอะไรก็ได้เช่น sandboxie สำหรับชื่อคีย์เพื่อระบุตัวตนที่ง่ายและคลิกตกลง

โฟลเดอร์รีจิสตรีอื่นที่มีชื่อที่คุณเคยตั้งชื่อคีย์ไว้ก่อนหน้านี้จะถูกเพิ่มเข้าไปที่ท้าย HKEY_USERS ตอนนี้คุณสามารถขยายโฟลเดอร์รีจิสตรีเพื่อวิเคราะห์ค่าที่เพิ่มหรือเปลี่ยนแปลง

ดังที่คุณเห็นจากภาพตัวอย่างด้านบน applcation sandboxed ใน Sandboxie ยังเพิ่มค่าเริ่มต้นโดยอัตโนมัติให้กับผู้ใช้ปัจจุบันในรีจิสทรีเพื่อเรียกใช้ไฟล์ที่ถูกทิ้งลงในโฟลเดอร์ Application Data เมื่อผู้ใช้ล็อกอินผู้ใช้คอมพิวเตอร์ที่มีประสบการณ์ และความรู้จะสามารถประเมินได้ว่าพฤติกรรมของแอปพลิเคชั่นแซนด์บ็อกซ์นั้นมีแนวโน้มที่จะเป็นอันตรายมากที่สุดและคุณสามารถได้รับการยืนยันการค้นพบของคุณโดยส่งไฟล์ไปยังนักวิเคราะห์ไวรัสโดยใช้ X-Ray

ตัวเลือกของบรรณาธิการ