当前，攻击者攻击手段不断更新，威胁不断演进，传统的防御手段已经无法应对高级攻击。为更有效地提升发现恶意攻击和各种威胁的能力，中睿天下推出全新睿眼·沙箱。

据了解，睿眼·沙箱可与睿眼·邮件攻击溯源系统、睿眼·主机取证溯源系统等联动检测，全面分析样本，快速发现各种恶意攻击和新型威胁，并追溯威胁的源头。从过往实战对抗检测的实战效果来看，睿眼·沙箱的使用频率较高，检出率优秀，深受用户认可。

作为一款高级威胁检测和恶意软件分析系统，睿眼·沙箱具有以下优势特色：

多重检测技术

睿眼·沙箱综合使用静态启发式检测、动态行为检测和智能分析检测引擎等技术，对已知威胁及新型未知威胁的检测能力更强大。

静态启发式检测

可对可执行文件、Office文档、脚本文件、网页文件等20多种类型进行针对性处理，对其中的文件结构、代码等进行分析检测，同时结合静态引擎检测、机器学习检测、yara检测等，准确高效地识别已知威胁。

动态行为检测

依托基于硬件层的虚拟化技术构建系统级沙箱，同时通过应用层和驱动层的Hook技术，对文件、注册表、网络、内存、进程等样本的动态行为进行监控。还具有监控网络流量的能力，可分析样本的网络通信协议（TCP/UDP/DNS/HTTP/HTTPS/ICMP/SMTP等）。同时具有网络隔离能力，可设置网络环境为断网、联网、v.pn这3种状态。

智能分析检测引擎

对经过静态启发式检测、动态行为检测产生的日志进行自动化解析和处理，自动化抽取攻击特征，根据机器学习算法和威胁模型对样本的威胁等级进行判定，生成威胁标签，并支持MITRE ATT&CK™ 框架检测，可基于攻击链进行回溯分析。

同时基于实时跟踪全球的网络安全事件，并结合大量安全专家的经验和最新技术，分析攻击过程及原理，更新威胁模型及规则，睿眼·沙箱可有效识别已知威胁和未知威胁。

交互式分析

相较于传统沙箱上传样本后直接等待报告，使用睿眼·沙箱的安全人员上传样本后，可在分析的同时与沙箱进行实时交互，在web上远程控制虚拟机，使用键盘和鼠标进行操作。

同时，睿眼·沙箱支持模拟人工交互。如软件安装包安装时，需要手动点击确认各种安装提示，睿眼·沙箱可做到自动点击。

对抗反调试、反虚拟机、反沙箱技术

高级的恶意文件执行时通常会检测自身是否在虚拟环境或沙箱环境中，如果是则不执行恶意行为，避免被检测出来。睿眼·沙箱支持40种以上探测行为的检测，可对高级恶意文件反调试、反虚拟机、反沙箱技术进行检测和处理，避免被绕过：

（1）通过虚拟机和物理机的执行环境差异检测虚拟机

（2）通过sleep延迟执行恶意行为来绕过沙箱

（3）通过调试器特征检测是否被调试

（4）通过包含特定文件、文件夹、注册表键检测沙箱

（5）通过检测常用软件使用情况检测沙箱

而对存在交互页面的样本，如Office文档、安装包、钓鱼页面等，睿眼·沙箱还具有模拟用户点击按钮、移动鼠标和输入的能力，从而触发样本的恶意行为。

分析报告便捷详尽

安全人员可通过睿眼·沙箱的web页面或API方式，方便地进行提交样本，分析完成后，可在线查看分析报告。

生成的分析报告包括概要信息、网络分析、静态分析、行为分析、提取特征、释放文件、进程内存等7大分类，点击相关按钮，可直接跳转到对应页面，提供详细的分析报告，大大降低对安全分析的技术要求。

同时支持导出IOC、导出报告、导出样本。

睿眼·沙箱-分析报告

威胁视角和专家视角

睿眼·沙箱提供威胁视角、专家视角等不同视角，可基于不同视角快速掌握整体宏观的样本威胁情况，可查询历史提交的所有样本，支持类型（文件、URL、压缩文件）、分析类型（PE文件、Office文件、脚本文件、网页文件、其他文件）、威胁等级（安全、可疑、恶意）、样本名称、MD5/SHA1/SHA256、域名、IP、威胁标签、国家地区、提交用户、正则表达式等几十种搜索条件，搜索、关联同类样本，一方面可大大提升搜索效率，一方面可避免重复性分析样本，从而降低攻击溯源的成本。

睿眼·沙箱-威胁视角

联动检测与联动联防

通过睿眼·邮件攻击溯源系统提取邮件中的附件，提交到睿眼·沙箱进行分析。支持自动提交和手动提交，分析完成后，可在睿眼·邮件攻击溯源系统上查看分析报告。睿眼·主机取证溯源系统等同理。

同时，也可通过防火墙等安全设备提取网络流量中的文件，提交到睿眼·沙箱进行威胁分析。分析完成后，根据检测结果制定安全策略，提升企业网络的安全性。

来源：freebuf.com 2021-04-27 17:02:27 by: zorelworld