SNDBOX：结合人工智能与机器学习的恶意软件分析平台

据报道，在世界范围内，每年因恶意软件攻击造成的损失超过100亿美元，并且还在不断增加。尽管网络安全机制在不断的升级，但恶意软件层出不穷，仍然是黑客攻击的利器。

近年来，人工智能和机器学习技术发展非常迅速，并且通过针对性的研究，此二者已经被认为是未来抵抗网络威胁的关键技术，也是众多安全人员主要研究的重点。

因此，来自以色列的网络安全以及恶意软件研究人员Ran Dubin和Ariel Koren博士开发并在Black Hat大会上发布了一款革命性的产品——以人工智能驱动的具有机器学习能力的恶意软件研究平台——SNDBOX。旨在帮助用户在受到攻击前就及时识别恶意软件样本并作出相应动作。

但是，由于分析恶意软件行为往往是在执行恶意代码之后，所以该程序不能用作防御机制，并且需要一个隔离的受控环境来监视其行为。

SNDBOX是什么

简单来说，SNDBOX是一个基于云的、功能强大的、多向量的AI技术平台，不仅能够通过监控软件行为来分析不同类型和属性的软件，还可以将动态行为转换为可搜索的向量，具有出色的可见性。详情请参考演示视频：

为了能够有效的监控，SNDBOX采用隐形内核模式来代理在受控环境中提交的二进制文件，此举能够对恶意软件起到欺骗作用，使其误以为所在的环境是真实的系统。

SNDBOX可对恶意软件的所有可执行行为进行监控，从简单的系统资源修改到高级的网络恶意活动，然后会利用机器学习的算法处理其收集的数据，小到不足10KB，大到超过200MB的文件，统统不在话下。

当然，为了避免查杀，有些恶意软件在系统内会有很长的潜伏期，SNDBOX也考虑到了这点。该平台能够通过改变恶意软件的状态和行为使其跳过沉睡期立即执行。此外，SNDBOX还可以与各种第三方平台相互集成，能够参考其他来源的样本、调查信息，通过行为模式、向量、属性、标签等多个载体对恶意软件信息进行汇总。

如何使用SNDBOX

传送门： https://app.sndbox.com ，只需注册即可使用。

登录后，主界面会给用户提供几种选择：上传样本进行扫描，或在数据库中根据关键字或标签搜索已有存档的恶意软件样本。

主界面主要分为四个部分：

评分系统和文件的最终恶意指数会在分析结果与过往数据相比较后进行计算。

静态分析选项侧重于对恶意软件属性进行完整分析，不需要执行恶意软件。动态分析则会显示恶意软件执行过程中完整的流程，通过流程树将软件在目标系统内的一举一动（例如挖矿、注入等行为）一一记录。

在Behavioral Indicators选项卡下，主要用于显示可执行的恶意软件行为：

注入技术；

文件丢弃；

已安装进程检查；

使用任意反VM技术；

修改Windows防火墙或注册表规则；

窃取敏感信息，例如浏览器数据；

加密文件；

任何异常行为；

……

每个部分都是可以单独点击的，能够查看详细的信息。

SNDBOX还能够拦截源自受感染虚拟机的网络连接和DNS请求，同时对提交的样本在网络分析过程的结果进行监控，显示出相关的源端口、目标IP地址、目标端口、传输协议服务、持续时间等信息。除此之外，还会对各种签名和可疑活动进行检测，例如恶意软件是否适用Tor网络进行加密通信等。

SNDBOX数据库的搜索功能

每个记录在案的恶意软件样本都会上传SNDBOX平台，相关结果都可通过搜索结果公开访问。除此之外，用户可以免费查看和下载任意已提交的恶意软件样本的PCAP文件（捕获的网络流量）以及样本本身的完整报告。所有用户都可以通过平台沟通交流，分享见解、资源、IOC等等。