SNDBOX: Plataforma de análisis de malware automatizado en línea impulsado por AI

¿Buscando un software automatizado de análisis de malware? Algo así como una solución de 1 clic que no requiere ninguna instalación o configuración ... una plataforma que puede ampliar su tiempo de investigación ... tecnología que puede proporcionar explicaciones basadas en datos ... ¡bueno, su búsqueda ha terminado!

Los investigadores israelíes de ciberseguridad y malware hoy en la conferencia Black Hat lanzan una revolucionaria plataforma de investigación de malware de aprendizaje automático e inteligencia artificial que tiene como objetivo ayudar a los usuarios a identificar muestras de malware desconocido antes de que se presenten.

Apodado SNDBOX , el sistema de análisis de malware automatizado en línea gratuito permite que cualquier persona cargue un archivo y acceda a su análisis estático, dinámico y de red en una interfaz gráfica fácil de entender.

La pérdida debida a ataques de malware se reporta en más de $ 10 mil millones cada año, y está aumentando. A pesar de la mejora significativa de los mecanismos de seguridad cibernética, el malware sigue siendo una herramienta poderosa y efectiva utilizada por los piratas informáticos para comprometer los sistemas debido a su capacidad de evasión considerablemente mejorada.

En los últimos años, la inteligencia artificial y las tecnologías de aprendizaje automático han evolucionado enormemente y se han convertido en una de las técnicas más prometedoras para detectar malware nunca antes visto mediante el estudio del comportamiento de varias muestras.

Sin embargo, dado que analizar el comportamiento del malware es una técnica posterior al ataque que requiere la ejecución del código malicioso en primer lugar, el enfoque no se puede utilizar como un mecanismo de defensa; en cambio, siempre necesita un entorno aislado y controlado para monitorear y examinar su comportamiento.

Desarrollado por los investigadores de ciberseguridad, el Dr. Ran Dubin y Ariel Koren , SNDBOX hace que el enfoque de la investigación de malware basado en el comportamiento sea más fácil que nunca y accesible para todos.

¿Qué es SNDBOX y cómo funciona?

SNDBOX es una poderosa plataforma de tecnología de IA basada en la nube y de múltiples vectores, que no solo es capaz de analizar archivos contra diferentes atributos y vectores al monitorear su comportamiento, sino que también convierte entradas de comportamiento dinámico en vectores de búsqueda, lo que permite a los usuarios buscar en su vasta Base de datos de análisis de malware en línea con excelente visibilidad.

Para una supervisión eficiente, SNDBOX ejecuta los archivos binarios enviados en un entorno controlado utilizando un agente invisible en modo kernel, que engaña al malware para que crea que se está ejecutando en un sistema real al que quiere atacar.

Ubicado entre el modo Usuario y el modo Kernel, el agente de modo kernel invisible de SNDBOX engaña al malware para que ejecute toda su gama de funcionalidades previstas, revelando su verdadera naturaleza y capacidades maliciosas.

SNDBOX supervisa el comportamiento de los ejecutables, desde simples modificaciones de los recursos del sistema hasta actividades avanzadas de la red, y luego aprovecha los algoritmos de aprendizaje automático para procesar una gran cantidad de datos recopilados, que podrían ser más de 200 MB para un binario pequeño de 10 KB, hasta un fácil resumen. resultados

Quizás se esté preguntando, ¿qué pasa con los virus informáticos que esperan los comandos remotos antes de activar sus cargas maliciosas?

"Incluso si está esperando por un largo período, sabemos cómo desencadenar eventos o largos períodos de inactividad, lo que hace que el malware ejecute todo su potencial de código malicioso de inmediato al alterar su comportamiento para recibir la máxima información sobre su verdadera naturaleza", dijeron los investigadores a Las noticias del Hacker.

La plataforma está diseñada de manera que se desarrolle automáticamente un conocimiento más profundo y una comprensión de varios aspectos, patrones de comportamiento, vectores, atributos, clasificación y firmas a través del tiempo mediante la investigación de las muestras que se le envíen.

"Los mecanismos de detección de IA multi-vector y los indicadores de comportamiento trabajan juntos para detectar actividad maliciosa y datos agregados para proporcionar conclusiones decisivas sobre la naturaleza del archivo", dijeron los investigadores a Las Noticias del Hacker.

SNDBOX también se puede integrar con una amplia variedad de plataformas de seguridad de terceros.

¿Cómo utilizar la plataforma de análisis de malware SNDBOX?

Disponible en https://app.sndbox.com, se puede acceder a la plataforma SNDBOX simplemente creando una cuenta en línea gratuita.

Después de iniciar sesión, el panel de control ofrece a los usuarios enviar una muestra para escanear automáticamente o buscar en la base de datos muestras de malware analizadas previamente clasificadas en diferentes palabras clave y etiquetas de comportamiento.

El panel de resultados del análisis ha sido bellamente diseñado para proporcionar una alta visibilidad y explicaciones basadas en datos para ampliar las capacidades de investigación de malware y reducir el tiempo de investigación.

Como se muestra en las capturas de pantalla a continuación que los investigadores compartieron exclusivamente con Las Noticias del Hacker. a la que también se puede acceder en vivo desde el sitio web de SNDBOX, el tablero se dividió en cuatro secciones principales, con sus subsecciones seleccionables, como se muestra a continuación:

Sistema de puntuación

  • Mutex
  • Encargarse de
  • El archivo existe
  • Árbol de proceso

Estático

  • Análisis estático
  • Metadatos
  • Importar / exportar tablas

Análisis dinámico

  • Árbol de proceso
  • Indicadores de comportamiento (WMI, Anti-VM, comportamiento anormal, etc.)
  • API de Windows
  • Información y pestañas Insight

Análisis de red

  • Tráfico de red y DNS con su información de carga útil.

El sistema de puntuación muestra [arriba a la izquierda] la puntuación final maliciosa, en porcentaje, para un archivo cargado, que calcula después de comparar los resultados con los datos analizados previamente.

La pestaña de análisis estático se enfoca en un análisis completo de malware sin ejecutar el malware.

La pestaña Análisis dinámico muestra el árbol de procesos completo que revela que el movimiento lateral ocurre en una máquina de destino en la ejecución, por ejemplo, huecos de procesos, creación de procesos, inyección de procesos, etc.

"Apoyamos todas las formas más recientes de firmas de movimientos laterales (que incluyen AtomBombing y ProcessDoppelganging , que son métodos relativamente nuevos para crear procesos y evitar la detección de antivirus)", afirman los investigadores.

Bajo la pestaña Indicadores de comportamiento, SNDBOX resalta si el ejecutable malicioso:

  • utiliza cualquier proceso de inyección o técnicas de vaciado,
  • archivos de gotas,
  • comprueba los procesos instalados,
  • utiliza cualquier técnica anti-VM,
  • modifica cualquier firewall de Windows o regla de registro,
  • roba información sensible, como datos del navegador,
  • encripta los archivos como lo hace el ransomware,
  • gana persistencia,
  • Realiza cualquier comportamiento anormal en el sistema,
  • Y mucho más indicador.

Se puede hacer clic en cada parte del árbol de procesos, lo que revela más información sobre cada proceso en las pestañas de información, API e información.

"Para cada indicador de comportamiento que encontramos, proporcionamos el pseudo código completo que desencadena este comportamiento. Esta es una forma en que proporcionamos una gran visibilidad de lo que sucedió en la máquina", dijeron los investigadores a Las Noticias del Hacker.

Para nuestros lectores, los investigadores también han compartido el análisis SNDBOX para algunos programas maliciosos infames, que se enumeran a continuación:

  • Spora Ransomware, SNDBOX muestra cómo se abusa de Windows Management Instrumentation (WMI).
  • Zeus Banking Malware, SNDBOX muestra información interesante, como la visibilidad del movimiento lateral "Hueco" y "Inyección" en el sistema.
  • WannaCry Ransomware, destacando su comportamiento de cambiar la configuración del registro, usar el cifrado de archivos y crear archivos con diferentes extensiones.

SNDBOX también intercepta las conexiones de red y las solicitudes de DNS que se originan en la máquina virtual infectada mientras monitorea las muestras enviadas y muestra los resultados en la pestaña de análisis de red, revelando información detallada sobre el puerto de origen, la dirección IP de destino, el puerto de destino, el servicio de protocolo de transporte, la duración y la marca de tiempo .

Además de esto, la sección de red también revela actividades sospechosas y extrañas basadas en varias firmas y vectores, como indicar si el malware utiliza la red Tor para la comunicación cifrada.

La base de datos de análisis de malware de SNDBOX se puede buscar

Cada muestra de malware enviada a la plataforma SNDBOX mediante una cuenta gratuita y sus resultados son accesibles al público a través de su potente función de búsqueda.

Como mencioné anteriormente, SNDBOX utiliza técnicas de aprendizaje automático para clasificar y etiquetar muestras de malware analizadas en función de los atributos extraídos, lo que ayuda a la función de búsqueda a mostrar resultados relevantes con mayor precisión.

"Nuestro motor de reputación funciona junto con la búsqueda de AI para reducir los falsos positivos. Se obtienen resultados altamente similares y se califican según su relevancia", dijeron los investigadores.

"Todos los datos de investigación, las conclusiones y las explicaciones de expertos correspondientes están disponibles en nuestra plataforma de investigación abierta, que respalda la capacidad de la comunidad para escalar esfuerzos para combatir el malware evasivo de forma colectiva".

¡Está disponible públicamente y se puede descargar!

Además, los usuarios también pueden ver y descargar el informe completo de cualquier muestra de malware enviada, su archivo PCAP (tráfico de red capturado), así como el propio archivo de muestra, incluso para los archivos enviados por otros usuarios de cuentas gratuitas.

"Además, con acceso completo a nuestros datos, todos los niveles de su equipo pueden aprovechar la información necesaria para la completa remediación de malware y nuevas posibilidades de investigación, al tiempo que comparten información, muestras públicas e IOC a través de nuestra plataforma comunitaria".

SNDBOX también ofrece cuentas premium para analistas privados y compañías, lo que les permite cargar muestras en privado sin compartir sus resultados con nadie.

"También proporcionamos una versión local de nuestra plataforma, donde puede analizar su archivo en un entorno completamente fuera de la red, en su organización, conectar todo lo que desee a la solución", dijeron los investigadores.

¿Qué tienen que decir los investigadores de seguridad sobre SNDBOX?

Nos pusimos en contacto con algunos investigadores de ciberseguridad y malware para saber qué piensan sobre la plataforma SNDBOX después de usarla. Esto es lo que dijeron:

Matthew Hickey , cofundador de Hacker House

"Como plataforma, creo que esto ofrece una nueva capacidad útil para el análisis binario que va más allá de la firma y las heurísticas simples que se suelen ver en el arenero del cuco, clasificando muestras mediante instrumentación. "Dinámicamente y estáticamente es útil, y también puede proporcionar una visión general rápida de una nueva muestra para determinar su comportamiento".

"Es una nueva herramienta muy útil para agregar al kit de herramientas de analistas de malware y ayuda a categorizar las amenazas para las que aún no existe una firma. Simplificar este proceso de análisis y proporcionar una visión general de alto nivel de los comportamientos de las muestras es excelente. Es algo que "Usaremos en el futuro, al igual que cuckoo sandbox y VirusTotal, trae otra capacidad de evaluación rápida a las manos de los analistas de malware".

Ido Naor: investigador en Kaspersky Lab y cofundador de VirusBay

"SNDBOX es un cambio de juego en la forma en que operan hoy en día las cajas de arena con malware. Contiene capas técnicas adicionales que no se pueden encontrar en otros servicios disponibles".

"Además, el equipo detrás de la solución no es más que expertos de primer nivel que saben cómo detonar muestras maliciosas y extraer las partes más valiosas sin problemas".

(Nota: actualizamos este artículo para agregar comentarios de más investigadores, tan pronto como escuchemos algo a cambio).


Share:

Related post

Comentarios

Facebook

Facebook comments:

Disqus

Disqus comments: