Песочница SandboxIE для анализа вредоносности файла

Рассматриваемая в данной статье утилита SandboxIE относится к классу так называемых «песочниц». Принцип их работы заключается в том, чтобы ограничить выполнение программы в контролируемой среде с виртуализацией вносимых изменений в систему. Фактически всё, что успеет сделать анализируемая программа во время своей работы, никак не повлияет на нашу систему, так как она будет заключена в виртуальном пространстве памяти. Зато в нашем распоряжении появляются инструменты для анализа вредоносности файла, позволяющие узнать, какие изменения внесёт программа, если она будет работать в обычной среде. В комплексе с SandboxIE мы рассмотрим использование плагина Buster Sandbox Analyzer.

После установки SandboxIE необходимо выполнить несколько настроек. Для этого открываем меню Песочница и выбираем пункт Создать песочницу. Вводим любое название для неё.

После этого правым кликом на созданной песочнице открываем контекстное меню и переходим в настройки.

Теперь желательно выставить следующие параметры для безопасной работы в песочнице:
Поведение – включить опцию Отображать границу вокруг окна. Самым заметным будет, наверное, красный цвет. Цветная рамка будет отображаться вокруг всех окон приложений, открытых через песочницу.
Восстановление – Немедленное восстановление – снять флажок Включить немедленное восстановление. В ветке Быстрое восстановление проверить, чтобы в списке не было ни одной папки.
Удаление – снять все флажки в этом разделе.
Ограничения – Доступ в Internet – удалить из списка все программы. Нежелательно предоставлять доступ в интернет вредоносным программа, так как это чревато утечкой личных данных.
Ограничения – Доступ на запуск/выполнение – нажать кнопку [Разрешить всем].
Ограничения – Доступ низкого уровня – отключить все опции.
Ограничения – Аппаратные средства – снять все флажки. Эти два пункта важны на тот случай, если файл будет заражён низкоуровневым вирусом, чтобы предотвратить возможность проникновения из песочницы в систему.

Сама по себе утилита SandboxIE позволяет оценить вредоносность файла, однако за счёт плагинов можно расширить функциональность программы. И самым полезным в этом плане окажется Buster Sandbox Analyzer. После загрузки плагина в папке, где установлена SandboxIE создаём директорию Buster Sandbox Analyzer и распаковываем в неё содержимое архива. Возможно, для нормальной работы утилиты понадобится скопировать файлы wpcap.dll и Packet.dll из папки PCAP в Windows/System32.

Ещё желательно переименовать файлы LOG_API.DLL и HideDriver.sys в папке Buster Sandbox Analyzer. Теперь открываем меню Настроить – Редактировать конфигурацию и добавляем в разделе BSA следующие строки:

InjectDll=C:\Program Files\SandboxIE\Buster Sandbox Analyzer\sbiextra.dll
InjectDll=C:\Program Files\SandboxIE\Buster Sandbox Analyzer\antidel.dll
InjectDll=C:\Program Files\SandboxIE\Buster Sandbox Analyzer\LOG_API.dll
OpenWinClass=TFormBSA

Конечно же, нужно проверить пути к файлам, чтобы они соответствовали действительным. Сохраняем файл и закрываем текстовой редактор.

В Buster Sandbox Analyzer включаем ручной режим через меню Options – Analysis mode – Manual и включаем опцию Options – Program Options – Windows Shell Intеgration – Add right-click action «Run BSA».

Теперь можно приступать к анализу файла на предмет его вредоносности. Отключаем антивирус и запускаем сначала SandboxIE, а затем вручную файл BSA.EXE. Здесь необходимо проверить, какой путь указан в поле Sandbox folder to check. Чтобы точно узнать его, в SandboxIE открываем меню Песочница – Просмотреть содержимое и в адресной строке копируем путь. Он состоит из буквы диска, на котором установлена программа, имени пользователя и названия песочницы:
С:\Sandbox\Admin\BSA
Остаётся только нажать в Buster Sandbox Analyzer кнопку [Start Analysis].

В SandboxIE правым кликом на песочнице выбираем Запустить в песочнице – Запустить любую программу и выбираем исполнимый файл исследуемого приложения (Просмотр…), обычно он имеет расширение EXE. Запущенный в песочнице файл, хоть и работает как все другие приложения, фактически не видит нашу систему и не может нанести ей вред. Окно приложения из песочницы обрамлено цветной рамкой.

Дальнейшие действия зависят от поставленной задачи. В нижней части окна Buster Sandbox Analyzer отображается лог API-вызовов, а в SandboxIE. По окончании анализа файла закрываем исследуемое приложение и жмём кнопку [Finish Analysis]. В тот же момент становится доступной кнопка [Malware Analyzer], открывающая список обнаруженных угроз. Пункты, напротив которых стоит статус YES, говорят о возможном вредоносном эффекте, обнаруженном при работе приложения.

Дополнительную информацию можно почерпнуть в окне Buster Sandbox Analyzer в меню Viewer. Помимо уже рассмотренного ранее лога API-вызовов (View Log_API) можно узнать, об изменениях, которые программа могла бы внести в реестр Windows. Для этого выбираем пункт View RegDiff. Полный отчёт открывается через меню View Report. Здесь указана общая информация, изменённые файлы, изменения в реестре (с указанием предыдущих значений ключей), а также активность приложения.

Просмотреть список файлов, созданных или изменённых во время работы приложения, можно путём открытия контекстного меню песочницы и выбором пункта Просмотреть содержимое. Файлы и отчёты хранятся вплоть до следующего анализа программы в песочнице.

Ещё более расширить функциональность SandboxIE позволят такие плагины, как Block Process Access для скрытия наличия других процессов вне песочницы от анализируемого процесса и Antidel для предотвращения удаления файлов в ходе работы.

Характеристики:
Язык интерфейса: русский, английский и др.
ОС: Windows XP, Vista, 7
Размер файла: 1,9 Мб
Лицензия: бесплатная, есть возможность оплаты