JoeBox: безопасно проверяйте поведение приложения

На страницах IlSoftware.it мы представили множество сервисов для сканирования на вирусы и вредоносные программы, которые одновременно используют несколько механизмов защиты от вредоносных программ. Одним из самых известных, несомненно, является VirusTotal (см. эти статьи), который в настоящее время анализирует исследуемый файл с помощью 42 различных антивирусных механизмов.

Затем мы проиллюстрировали онлайн-сервисы песочницы, такие как ThreatExpert (см. в связи с этим эти статьи). Работа этих служб отличается тем, что позволяет запускать файлы, загруженные онлайн, на виртуальной машине, управляемой удаленным сервером.

В то время как такие механизмы, как VirusTotal, позволяют проверить, присутствуют ли в передаваемом файле угрозы, известные одному или нескольким производителям антивирусного и антивредоносного программного обеспечения, такие службы, как ThreatExpert, позволяют определить, какие операции выполняет тот или иной файл после его запуска. Анализируя окончательный отчет ThreatExpert, вы можете понять, можно ли считать анализируемый файл потенциально опасным или нет.

Службы онлайн-песочницы, очевидно, ничего не выполняют в системе пользователя, а запускают приложение, загруженное в систему, внутри удаленной виртуальной машины в полностью безопасной тестовой среде. «В клетке» внутри «виртуальной машины» приложение будет выполняться, а все изменения, внесенные в тестовую систему, будут записываться в текстовый файл или в html-формат. По окончании отправленной пользователем операции анализа поведения приложения удаленная виртуальная машина удаляется путем восстановления ее «чистой» копии или восстанавливается до состояния, предшествующего установке исследуемого файла.

JoeBox — это онлайн-система-песочница, очень похожая на ThreatExpert, которая, однако, до сих пор малоизвестна. Последний факт может оказаться полезным для пользователя. Некоторые вредоносные программы на самом деле используют некоторые методы, чтобы проверить, произошло ли их выполнение внутри виртуальной машины. В этих случаях вредоносное ПО не выполняет никаких злонамеренных действий, стараясь не быть обнаруженным и заставить пользователя поверить в то, что файл свободен от опасности. JoeBox, будучи все еще малоизвестным веб-приложением для песочницы, в некоторых ситуациях может оказаться более квалифицированным в определении изменений, внесенных в систему любым файлом.

Среди наиболее интересных возможностей JoeBox (доступные с этой страницы) помните о возможности выбора типа виртуальной машины, на которой вы хотите запустить исследуемый файл. Через веб-интерфейс JoeBox можно выбирать между Windows XP SP3 (настройка по умолчанию), Windows Vista или Windows 7. Один выбор не исключает другого: поэтому можно одновременно проверять поведение исполняемого файла в разных контекстах. Получить сетевые данные (PCAP), вы даже можете попросить JoeBox отслеживать сетевой трафик после запуска приложения (чтобы указать, нажав клавишу «Обзор», соответствующую полю «Файл для отправки»), и сохранить его в файле, который затем можно открыть. и проверено с помощью программного обеспечения для анализа пакетов, такого как WireShark.

Сервис JoeBox позволяет загружать файлы, максимальный размер которых не превышает 5 МБ, и не принимает файлы с именами, длина которых превышает 50 символов. Однако поддерживаются все типы двоичных файлов. Поэтому не только исполняемые файлы, но и библиотеки DLL, файлы SYS, документы DOC, XLS, PPT, PDF и так далее. Кроме того, следует подчеркнуть, что сервис также обслуживает файлы без расширения. Если вы боитесь запустить потенциально опасный файл в своей системе, вы можете лишить его расширения и передать его JoeBox, который самостоятельно определит тип на основе конкретного содержимого.

Однако не отправляйте в JoeBox сжатые архивы, такие как ZIP, RAR, 7Z и т. д.

В поле E-mail обязательно должен быть указан действующий адрес электронной почты, так как JoeBox отправит отчет об анализе по электронной почте.

С помощью поля «Сценарий для отправки» также можно отправить файл сценария в формате .JBS («JoeBox Script»). Это скрипты, подготовленные по синтаксису «AutoIt» ​​(см. официальный сайт проекта). Он называется «AutoIt» — хорошо известный скриптовый язык, позволяющий автоматизировать выполнение некоторых операций. Синтаксис «AutoIt» аналогичен синтаксису Basic и позволяет управлять и хранить различные типы данных, включая массивы. Сценарий «AutoIt» также может быть скомпилирован как исполняемый файл, чтобы позволить ему работать даже в системах, где фактический язык сценариев не установлен.

Отправка сценария .JBS в дополнение к двоичному файлу не является обязательной. Однако более сообразительные пользователи смогут благодаря использованию скрипта имитировать взаимодействие с виртуальной системой, модифицировать контекст выполнения файла и полностью контролировать поведение JoeBox. Благодаря сценариям .JBS можно, например, запустить механизм «сниффинга» пакетов данных или системных вызовов, запросить анализ существующих процессов и драйверов, перезагрузить систему или восстановить ее до состояния по умолчанию. Список используемых команд можно найти на этот адрес.

После того, как вы нажмете кнопку «Анализ», JoeBox в течение нескольких минут завершит анализ отправленного файла, а затем отправит результаты операции по электронной почте на указанный адрес.

Электронное письмо может поставляться с одним или двумя вложениями в зависимости от того, выбрали ли вы также получение файла, содержащего сетевой трафик, в формате .PCAP. Фактический отчет (result.html) вместо этого содержится в сжатом файле analysis.zip.


Открыв файл result.html с помощью веб-браузера, вы увидите — под вводной информацией — область под названием «Разделы».
Здесь JoeBox отметил все изменения, внесенные анализируемым приложением в тестовую систему (удаленная виртуальная машина). Анализируя различные подразделы, можно установить, какие файлы были открыты, созданы, перезаписаны, удалены, переименованы; операции, выполняемые с разделами реестра Windows, процессами, памятью и т. д.

В хронологических разделах вы можете получить хронологический список действий, выполняемых программой, а в разделах ниже (TCP, UDP, ICMP, DNS, HTTP) вы можете установить операции, выполняемые в сети.

JoeBox, безусловно, является инструментом, прерогативой наиболее продвинутых пользователей, который, однако, оказывается большим подспорьем в установлении того, какие операции были выполнены файлом, считающимся подозрительным. Таким образом, анализ JoeBox можно использовать как в профилактических целях (чтобы выяснить поведение программного обеспечения перед его запуском), так и в качестве инструмента для обнаружения всех изменений, внесенных в уже зараженную систему (путем проверки JoeBox на наличие «мошеннического антивируса»). «, например, вы сможете получить отчет обо всех изменениях, внесенных в систему, и использовать эту информацию для устранения вредоносного ПО из скомпрометированных систем).

Чтобы использовать JoeBox, просто войдите в систему с этой страницы.
Подробнее о том, как работают «песочницы», можно прочитать в этих статьях.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.