Sandbox

Песочница (Sandbox) – специализированное решение, предназначенное для обнаружения неизвестных вредоносных программ (т.е. сигнатуры которых отсутствуют в антивирусных средствах). Основной принцип работы песочниц заключается в запуске подозрительного объекта в виртуальной машине с полнофункциональной операционной системой и наблюдением за поведением изучаемого объекта. Если объект осуществляет вредоносные действия, то песочница определяет его в качестве вредоносной программы. При этом никакого вреда для ИТ-инфраструктуры компании не происходит, т.к. виртуальная машина с вредоносной программой изолирована от основной инфраструктуры.

Работа «песочницы» представляет собой следующий процесс:

  •          Песочница получает подозрительный объект на проверку с инструкциями: в какой операционной системе запустить, максимальное время проверки, конфигурация для запуска объекта и др.
  •          Выполняется запуск подозрительного объекта
  •          В течение определенного времени после запуска песочница собирает информацию. Если объект взаимодействует с другими процессами или URL-адресами, то эти данные также подлежат анализу
  •          Песочница анализирует собранные данные и предоставляет окончательный вердикт: вредоносный объект или же нет

После запуска объекта песочница собирает следующую информацию:

  •          Журналы выполнения приложений
  •          Дампы памяти
  •          Дампы загружаемых модулей
  •          Изменения файловой системы и реестра
  •          Сетевой трафик
  •          Снимки экрана для ручного изучения работы объекта
  •          Артефакты активности эксплойтов