尤金卡巴斯基对卡巴斯基沙箱3.0的介绍

awsl10000次

op这几天的响应速度和检测能力显著提高，结合文章来看，这篇文章明确写了op后面确实藏着一个更强的沙箱。
卡巴斯基已经有win7，win10，Android，linux环境的动态沙盒（win11在开发）可惜免费版仍然只有win7（但这几天看起来免费版的黑幕之后也是有东西的），研究沙盒3.0目前集成在opentip对网页ip分析的板块（难怪一天就一次）
原文Our updated Sandbox (ver. 3.0): “The Matrix for Malware”. | Nota Bene: Eugene Kaspersky’s Official Blog
以下内容由ai翻译
有件重要的事发生了——尽管你可能没注意到……
我们的研究沙盒第三版已发布！
嗯。这没什么令人惊叹的，对吧？但它仍然很重要——非常重要。让我告诉你为什么……
这是什么？
什么是沙盒？让我从最基础的讲起……
如何判断一个对象（文件、网络资源……）是否具有恶意？最简单的方法就是运行它，看看会发生什么。如果它窃取密码和银行卡信息，或者加密文件并索要赎金——那您就知道了：它是恶意的。但“运行它看看”这种做法实在不是什么好主意，因为此类感染/加密可能会造成严重破坏。
为了在受控环境中安全地测试可疑对象，我们创建了一个沙盒——一种虚拟的培养皿，在这里恶意软件会在显微镜下暴露其真正的恶意本性，而我们则对其进行观察。

静态和动态分析
现在来谈谈我们在沙盒中分析一个对象的具体方式。首先，它可以进行静态分析——对对象进行反汇编，查看其内部结构，识别关联，分析文件结构，并将所有这些与我们的声誉数据库信息和检测规则进行对比；查找已知威胁，并识别潜在的可疑特征等等。


接下来是动态分析……
研究沙盒可以充当对象的“矩阵”（没错，就是有尼奥和墨菲斯的那个，不是用于印刷或数学的那种）——一个它能过上“正常生活”的世界。从正在运行的文件（脚本、网页）的角度来看，沙盒就像是一个普通的工作站。
与此同时，坏人变得越来越聪明。他们不断改进识别人工环境的能力，然后加以欺骗。


但回到我们所说的沙盒就像一个“恶意软件的矩阵”……
我们拥有先进的技术，比如强大的事件日志系统，这些技术都深深嵌入到虚拟操作系统和虚拟化系统层中，恶意软件无法触及。而且，确实会模拟出一个真实的工作站环境。文件可以打开和关闭，进程可以启动和停止，用户可以浏览文档，在市场上选购机器人吸尘器，甚至在即时通讯工具中抱怨工资低（开玩笑的，关于其工作原理的任何细节都可以应要求提供）。
换句话说，文件（或网页、脚本等）运行起来，分析师则观察其行为。在我们全新的 3.0 版本中，运行中的文件可以被直观地观察到——有一个特殊的可视化模式叫做 VNC。例如，如果恶意软件将桌面壁纸更改为威胁性内容（“交钱！”）或淫秽内容（自行想象），您可以近距离查看恶意创作者的“杰作”。您还可以看到文件扩展名在加密过程中如何发生变化。这就像一部为网络安全团队准备的互动灾难片——细节详尽，身临其境。我写“互动”是因为，不仅能够观察恶意软件的运行情况，还可以根据需要调整环境：更改“工作站”设置、启动额外的诊断工具等等。

动态分析的结果随后可在一份详细报告中查看，该报告涵盖了所有恶意和可疑活动。报告还包含恶意软件执行情况的地图，其中每个危险步骤都根据 MITRE ATT&CK 国际分类系统进行了标注。

我们如何降低系统要求
我们研究沙盒的第三个版本中的一项重大更新是降低了系统要求，使其能够为更广泛的用户所使用。众所周知，随着时间的推移，硬件变得越来越小、越来越快，而软件却变得越来越庞大、越来越慢。我们的沙盒是个罕见的例外。那么我们是如何做到这一点的呢？
沙盒需要我们的声誉数据库来进行动态和静态分析，以充分发挥其效用。3.0 版本现在支持连接到我们基于云的 KSN，这意味着部署时少了一台服务器（您只需一台而非两台——实际上将系统要求降低了一半）。当然，和之前一样，用户仍可选择本地部署选项（KPSN），这样不会将任何信息发送到外部，仅接收更新。

当然，确实有不少组织坚决拒绝将任何东西发送到外部——甚至连文件哈希值都不行。但即便如此，他们或许也会发现这种单服务器选项有助于降低试点测试成本。然后，如果发现沙盒符合他们的需求，他们就可以部署本地信誉数据库。
沙盒家族
研究沙盒 3.0 是我们内部沙盒的“小弟”（还有几个兄弟姐妹——在开放和封闭的威胁情报门户上分别有免费和商业的云版本可用，另外在我们的 KATA 解决方案中也有一个），而内部沙盒则是“大姐大”，为我们的反病毒实验室服务。所有的创新都是在那里引入的，一旦测试成功，就会推广到客户使用的各个产品中。我们每天检测到超过 45 万个新的恶意软件样本——其中很多是通过内部沙盒检测到的，它是我们的自动啄木鸟系统的重要组成部分。
顺便提一下，研究沙盒与我们的基于云的威胁数据验证服务（威胁查找）集成在一起，用于分析网址、哈希值和 IP 地址。此服务托管在我们的威胁情报门户上，云沙盒（威胁分析）也位于该门户。它无需自身的资源或服务器，并且为所有人提供了非常有用的附加功能

首先，威胁分析能够检查文件的归属和相似性。这对于调查、事件响应以及维持企业网络的高安全性而言极其有用。归属有助于确定文件是否可能属于已知的高级持续性威胁（APT）组织，并立即揭示其所有已知的策略和手段，而相似性则能识别出类似的恶意文件，以便在您的基础设施中查找其踪迹。网络犯罪分子可以修改和重建他们的工具，但他们很难轻易隐藏其可识别的恶意特征。
这是给谁的？
那么，研究沙盒是为谁设计的呢？尽管它在本地部署版本中每天能够自动处理多达 17000 个对象，但其主要任务是对组织内部网络安全事件中识别出的特定文件进行深入分析。要做到这一点，至少需要一名专职的信息安全专家，或者一组专家和一个安全运营中心（SOC）。它的专长在于彻底调查、深入探究和分析。它非常适合反病毒分析师或事件响应团队使用。
对于某些任务，需要一个流处理沙盒——用于分析从电子邮件和流量中提取的可疑文件；就我们而言，是 KATA 沙盒。而研究沙盒则是为了让专家能够坐下来深入研究，探索关联以及事物的运作方式。
此版本的沙盒支持 Windows 的主要版本（Windows 11 正在开发中）、Android 和 Linux，还能对 macOS 等其他操作系统的可执行文件进行静态分析。诸多计划正在推进；整个沙盒系列仍在不断发展……
顺便说一句，为什么信息安全比微生物学更有趣呢？生物细菌和病毒没有智力；它们可以试图感染甚至杀死研究人员，但它们不会策划欺骗他们。而网络犯罪分子呢？他们确实有智力，而且会策划各种各样的有害恶作剧！这就是为什么对抗恶意软件是一场智力的较量，这也让我们的领域如此引人入胜。这就像是一场福尔摩斯与莫里亚蒂的持续较量——尽管风险很高，但同时也绝对令人兴奋！

驭龙

跟我猜测的差不多，OP被过以后迅速拉黑，这响应速度比之前快很多，就应该是这个沙盒3在搞鬼

awsl10000次

驭龙 发表于 2025-5-16 23:05
跟我猜测的差不多，OP被过以后迅速拉黑，这响应速度比之前快很多，就应该是这个沙盒3在搞鬼

不知道免费版什么时候能增加些功能，比方说解压压缩包（就可以直接样本区云沙箱玩法）
默认win7然后再根据一些机制提交给更强大沙箱的玩法总有些不尽兴

驭龙

awsl10000次 发表于 2025-5-16 23:22
不知道免费版什么时候能增加些功能，比方说解压压缩包（就可以直接样本区云沙箱玩法）
默认win7然 ...

你说的这功能跟某某家的LiveGurad了，如果卡巴真有这功能开放，某某家的用户真的想哭啦

awsl10000次

驭龙 发表于 2025-5-16 23:27
你说的这功能跟某某家的LiveGurad了，如果卡巴真有这功能开放，某某家的用户真的想哭啦

sophos intelix可以解压，就是文件限制100mb，并且偶尔会出现不点击中文继续安装的情况

驭龙

awsl10000次 发表于 2025-5-16 23:31
sophos intelix可以解压，就是文件限制100mb，并且偶尔会出现不点击中文继续安装的情况

我如果有长期的守护使授权，我都想一直用Sophos Home了，毕竟其中的HMPA太强了，哈哈

Kyo.BA

驭龙 发表于 2025-5-16 23:27
你说的这功能跟某某家的LiveGurad了，如果卡巴真有这功能开放，某某家的用户真的想哭啦

这个沙箱3.0之后，是所有版本的KSN都生效吗？比如21.3和21.20

驭龙

Kyo.BA 发表于 2025-5-17 00:09
这个沙箱3.0之后，是所有版本的KSN都生效吗？比如21.3和21.20

理论上是KSN后端有这个沙箱3.0，那么应该跟本地是什么版本关系不大，能调用KSN拉黑的就应该可以吧？我不确定

Kyo.BA

驭龙 发表于 2025-5-17 00:15
理论上是KSN后端有这个沙箱3.0，那么应该跟本地是什么版本关系不大，能调用KSN拉黑的就应该可以吧？我不 ...

那感觉还可以，KSN都能生效
因为我现在暂时还不想使用新版的卡巴。
21.3.10感觉非常稳定，界面也很简洁
虽然我现在用着ESSP，但是估计玩一阵一会跑去玩玩卡巴

对了，现在对于卡巴而言，版本的区别应该不会特别大吧。21.3和21.20来说，应该也就是UI更新了而已吧

驭龙

Kyo.BA 发表于 2025-5-17 00:18
那感觉还可以，KSN都能生效
因为我现在暂时还不想使用新版的卡巴。
21.3.10感觉非常稳定，界面也很简洁 ...

我用21.19很正常，可21.21就不太稳定，卡巴果然不能安装最新版本啊，哈哈