Kaspersky Sandbox
Berjalan di tempat, di cloud, dan di infrastruktur analisis malware Kaspersky, kotak pasir kami menerapkan berbagai teknik anti-penghindaran sementara kinerja deteksinya didukung dengan intel ancaman dari Kaspersky Security Network.
Kaspersky Sandbox mendeteksi dan secara otomatis memblokir ancaman tingkat lanjut pada perangkat klien (workstation, komputer, server, juga disebut sebagai “workstation”).
Solusinya dikembangkan untuk pengguna korporat.
buy albuterol online https://taxmama.com/wp-content/forum/styles/new/albuterol.html no prescription
Tentang Teknologi Sandbox
Sandbox adalah sistem untuk deteksi malware yang menjalankan objek mencurigakan di mesin virtual (VM) dengan OS berfitur lengkap dan mendeteksi aktivitas jahat objek dengan menganalisis perilakunya. Jika objek melakukan tindakan berbahaya di VM, sandbox akan mendeteksinya sebagai malware. VM diisolasi dari infrastruktur bisnis yang sebenarnya.
Kaspersky Sandbox menganalisis perilaku objek saat dieksekusi, yang membuatnya efektif melawan malware yang lolos dari analisis statis. Pada saat yang sama, dibandingkan dengan desain analisis perilaku lainnya, kotak pasir lebih aman karena tidak berisiko menjalankan objek yang mencurigakan di infrastruktur bisnis yang sebenarnya.
Kaspersky Sandbox
Di Kaspersky, kami mengembangkan kotak pasir kami sendiri beberapa tahun yang lalu. Dalam infrastruktur kami, ini adalah salah satu alat untuk analisis malware, penelitian, dan pembuatan basis data antivirus. Kotak pasir juga merupakan bagian dari Kaspersky Anti-Targeted Attack Platform dan platform Kaspersky Threat Intelligence. Ini membantu untuk menilai file dan URL sebagai berbahaya atau tidak berbahaya dan memberikan informasi tentang aktivitasnya yang berguna untuk membuat aturan dan algoritme deteksi.
Fitur Sandbox :
– Kotak pasir didasarkan pada virtualisasi perangkat keras, yang membuatnya cepat dan stabil.
– VM tersedia untuk:
— OS Windows (semua versi komputer pribadi mulai dari Windows XP, semua versi server mulai dari Windows Server 2003),
— OS Android (x86, arsitektur prosesor ARM).
– Kotak pasir memantau interaksi proses yang dieksplorasi dengan OS (sekitar 30 ribu API yang berbeda ditonton). Dalam kasus yang mencurigakan, kotak pasir masuk lebih dalam.
– Kotak pasir menyediakan deteksi eksploitasi mulai dari fase awal eksploitasi.
buy plavix online https://nashvillegab.com/wp-content/languages/new/plavix.html no prescription
Ini mendeteksi perilaku eksploit yang khas seperti penggunaan rantai ROP, penyemprotan tumpukan, pivot tumpukan, perubahan token keamanan, perubahan perlindungan memori yang mencurigakan, dan lainnya. Kotak pasir mampu mendeteksi eksploitasi tingkat lanjut yang digunakan dalam serangan yang ditargetkan.
Jenis objek yang dapat dieksekusi
– Windows: file apa saja, misalnya: *.exe, *.dll, objek .NET, file MS Office, PDF.
– Android: APK (DEX).
– URL: kotak pasir menuju ke URL dan mendeteksi peristiwa berikut: unduhan, JavaScript, eksekusi Adobe Flash, dan lainnya.
Alur kerja deteksi malware
1. Sandbox menerima permintaan untuk memindai objek (file atau URL) dari komponen solusi keamanan lain, dengan instruksi: OS dan konfigurasi untuk menjalankan objek, parameter eksekusi objek, aplikasi pihak ketiga lainnya yang diinstal di VM, batas waktu pengujian, dll.
2. Objek yang diuji dijalankan.
3. Kotak pasir mengumpulkan artefak sepanjang rentang waktu yang ditentukan. Jika objek berinteraksi dengan proses atau URL lain dengan reputasi yang diketahui, kotak pasir akan menangkapnya.
4. Kotak pasir menganalisis artefak dan mengirimkan keputusannya ke sistem yang meminta: malware atau jinak. Kotak pasir menambahkan data objek ke putusan (ID, fitur, log, detail perilaku), yang dapat membantu dalam analisis lebih lanjut tanpa memerlukan permintaan baru ke kotak pasir. Jika aktivitas mencurigakan tertentu ditemukan selama eksekusi sampel, sandbox juga mengembalikan deskripsi detail aktivitas tersebut. Saat ini, deskripsi sekitar 200 aktivitas mencurigakan yang berbeda disertakan dalam kotak pasir kami.
Artefak yang dikumpulkan oleh kotak pasir :
– Log eksekusi aplikasi (panggilan fungsi API dengan parameternya, peristiwa eksekusi)
– Memori dump
– Modul yang dimuat dibuang
– Perubahan sistem file, registri
– Lalu lintas jaringan (file PCAP)
– Tangkapan layar (untuk audit yang lebih mudah dan analisis manual, jika diperlukan)
– Artefak aktivitas eksploitasi
Pencegahan penghindaran
Biasanya malware saat ini mencoba mendeteksi dan menghindari kotak pasir. Setelah mengetahui itu berjalan di kotak pasir, ia mungkin melewatkan melakukan aktivitas jahat apa pun, menghapus dirinya sendiri dari disk, menghentikan dirinya sendiri atau menggunakan beberapa teknik penghindaran lainnya.
Desain pemantauan sandbox perangkat keras yang lebih sederhana (misalnya mengaitkan fungsi API) akan meninggalkan jejak yang menunjukkan bahwa proses mencurigakan sedang diawasi. Jadi, kami menerapkan teknik pemantauan lain yang tidak mengganggu dan tidak meninggalkan jejak yang terlihat oleh objek yang dipindai. Sandbox mengontrol CPU dan RAM, tetapi tidak mengubah operasi proses, memori, pustaka sistem pada disk dan memori, tanpa meninggalkan jejak pemantauan.
Kami juga melacak teknik penghindaran baru yang muncul dan menyetel kotak pasir kami untuk melawannya, misalnya:
Penghindaran A: Lingkungan sandbox adalah tipikal dari beberapa sandbox merek terkenal. Malware mengenalinya dan menghindari deteksi.
Counter evasion A: Sandbox kami mengacak lingkungan VM sebelum VM dimulai.
Penghindaran B: Malware dapat mendeteksi lingkungan kotak pasir melalui kurangnya aktivitas pengguna. Untuk menjalankan beberapa malware, pengguna perlu memasukkan kata sandi dari email, mengklik wizard, atau melakukan hal ‘manusia’ lainnya. Banyak kotak pasir tidak meniru ini dan karena itu tidak melihat malware meledak.
Counter evasion B: Sandbox kami mengemulasi tindakan pengguna: gerakan mouse, menggulir dokumen yang dibukanya. Kotak pasir kami juga melakukan banyak hal yang dilakukan pengguna untuk mengaktifkan malware.
===================================================
Kaspersky Sandbox
Running on-premises, in the cloud and in Kaspersky malware analysis infrastructure, our sandboxes apply various anti-evasion techniques while their detection performance is backed up with threat intel from Kaspersky Security Network.
Kaspersky Sandbox detects and automatically blocks advanced threats on client devices (workstations, computers, servers, also referred to as “workstations”).
The solution is developed for corporate users.
About the sandbox technology
A sandbox is a system for malware detection that runs a suspicious object in a virtual machine (VM) with a fully-featured OS and detects the object’s malicious activity by analyzing its behavior. If the object performs malicious actions in a VM, the sandbox detects it as malware. VMs are isolated from the real business infrastructure.
Sandboxes analyze the behavior of an object as it executes, which makes them effective against malware that escapes static analysis. At the same time, compared to other behavior analysis designs, a sandbox is safer as it doesn’t risk running a suspicious object in the real business infrastructure.
Kaspersky sandbox
At Kaspersky, we developed our own sandbox some years ago. In our infrastructure, it is one of the tools for malware analysis, research and creation of antiviral databases. A sandbox is also a part of the Kaspersky Anti-Targeted Attack Platform and the Kaspersky Threat Intelligence platform. It helps to rate files and URLs as malicious or benign and provides information on their activity that is useful for creating detection rules and algorithms.
Kaspersky Sandbox Features :
– The sandbox is based on hardware virtualization, which makes it fast and stable.
– VMs are available for:
— Windows OS (all personal computer versions starting from Windows XP, all server versions starting from Windows Server 2003),
— Android OS (x86, ARM processor architecture).
– The sandbox monitors interaction of the explored process with the OS (about 30 thousands of different APIs are watched). In suspicious cases, the sandbox goes deeper.
buy wellbutrin online https://taxmama.com/wp-content/forum/styles/new/wellbutrin.html no prescription
– The sandbox provides exploit detection starting from the early phases of exploitation. It detects typical exploit behavior such as ROP chain usage, heap spraying, stack pivoting, security token changes, suspicious memory protection changes and others. The sandbox is capable of detecting even advanced exploits used in targeted attacks.
Object types that can be executed
– Windows: any files, for example: *.exe, *.dll, .NET objects, MS Office files, PDFs.
buy strattera online https://nashvillegab.com/wp-content/languages/new/strattera.html no prescription
– Android: APK (DEX).
– URLs: the sandbox goes to a URL and detects the following events: downloads, JavaScript, Adobe Flash execution and others.
Malware detection workflow
1. The sandbox receives a request to scan an object (a file or a URL) from another security solution component, with instructions: the OS and the configuration for running the object, the object’s execution parameters, other third-party applications installed in the VM, the test time limit, etc.
2. The tested object is run.
3. The sandbox collects artifacts throughout the specified timespan. If the object interacts with other processes or URLs with known reputations, the sandbox captures this.
4. The sandbox analyzes artifacts and delivers its verdict to the requesting system: malware or benign. The sandbox adds the object’s data to the verdict (ID, features, logs, behavior details), which may help in further analysis without the need for a new request to the sandbox. If a certain suspicious activity is found during the sample’s execution, sandbox also returns detailed description of the activity. At the moment, descriptions of about 200 different suspicious activities are included in our sandbox.
Artifacts collected by the sandbox :
– Application execution logs (API function calls with their parameters, execution events)
– Memory dumps
– Loaded modules dumps
– Changes in file system, registry
– Network traffic (PCAP files)
– Screenshots (for easier audit and manual analysis, if needed)
– Artifacts of exploit activity
Evasion prevention
It is typical for today’s malware to try to detect and evade a sandbox. Once it knows it’s running in a sandbox, it may skip performing any malicious activity, erase itself from disks, terminate itself or use some other evasion technique.
A simpler design of hardware sandbox monitoring (e.g. hooking API functions) would leave traces that indicate that a suspicious process is being watched. So, we implemented other monitoring techniques that are non-intrusive and leave no trace visible to the scanned object. The sandbox controls CPU and RAM, but does not modify process operation, memory, system libraries on disk and in memory, leaving no traces of monitoring.
We also keep track of emerging new evasion techniques and tune our sandbox to counteract them, for example:
Evasion A: The sandbox environment is typical of some known brand sandbox. The malware recognizes it and evades detection.
Counter evasion A: Our sandbox randomizes VM environment prior to VM start.
Evasion B: The malware can detect the sandbox environment through a lack of user activity.
buy premarin online https://nashvillegab.com/wp-content/languages/new/premarin.html no prescription
For some malware to run, the user needs to enter a password from an email, click through a wizard or do other ‘human’ things. Many sandboxes do not emulate this and therefore do not see the malware detonate.
Counter evasion B: Our sandbox emulates user actions: mouse movements, scrolling documents that it opens. Our sandbox also does many things that users do to activate malware.
Important Keywords :
Kaspersky Sandbox, jual Kaspersky Sandbox, harga Kaspersky Sandbox, beli Kaspersky Sandbox,
fitur Kaspersky Sandbox,
agen Kaspersky Sandbox, distributor Kaspersky Sandbox
