Sandbox
Песочница (Sandbox) – специализированное решение, предназначенное для обнаружения неизвестных вредоносных программ (т.е. сигнатуры которых отсутствуют в антивирусных средствах). Основной принцип работы песочниц заключается в запуске подозрительного объекта в виртуальной машине с полнофункциональной операционной системой и наблюдением за поведением изучаемого объекта. Если объект осуществляет вредоносные действия, то песочница определяет его в качестве вредоносной программы. При этом никакого вреда для ИТ-инфраструктуры компании не происходит, т.к. виртуальная машина с вредоносной программой изолирована от основной инфраструктуры.
- Песочница получает подозрительный объект на проверку с инструкциями: в какой операционной системе запустить, максимальное время проверки, конфигурация для запуска объекта и др.
- Выполняется запуск подозрительного объекта
- В течение определенного времени после запуска песочница собирает информацию. Если объект взаимодействует с другими процессами или URL-адресами, то эти данные также подлежат анализу
- Песочница анализирует собранные данные и предоставляет окончательный вердикт: вредоносный объект или же нет
- Журналы выполнения приложений
- Дампы памяти
- Дампы загружаемых модулей
- Изменения файловой системы и реестра
- Сетевой трафик
- Снимки экрана для ручного изучения работы объекта
- Артефакты активности эксплойтов