【天穹】天穹沙箱上新了
/ / 点击 / 阅读耗时 12 分钟
网络攻防真人秀(H/W)开始了!在这场悄无声息的攻防对抗中,同志们普遍利用沙箱系统完成文件威胁鉴定、样本深度分析、威胁情报提取等工作。奇安信技术研究院秉承“安全能力输出,实际行动支前”的理念,积极听取各方的需求,不断研发新技术、扩展新功能。为支持大家在此次活动中取得更好的成绩,星图实验室推出的天穹沙箱又上新了。天穹沙箱分析平台,一个支持Windows、Linux、Android、macOS、信创操作系统、IoT操作系统的沙箱分析平台!
奇安信技术研究院研发的天穹沙箱平台自发布以来,受到了公司各个部门、产品线,特别是安服、安运等一线人员的欢迎。本次更新,我们响应前场需求,新增了多个分析系统,提供完整的多维度检测服务,并推出深度和快速分析模式等诸多功能和改进。
接下来,我们从多个纬度介绍天穹沙箱新增的特性。
一、沙箱支持的分析环境
天穹沙箱平台支持模拟14种CPU架构的虚拟机,除了支持的x86/x64之外,还支持MIPS、ARM、SPARC、PowerPC、M68K、SuperH架构,以及这些架构32位/64位、Big Endian/Little Endian的多种组合,全面覆盖PC、服务器、智能终端、IoT设备的主流设备架构形态。
虚拟机环境
| Windows | Linux | Android | macOs | IoT | 信创 |
|---|---|---|---|---|---|
| Windows XP x86-32 | CentOS 7 x86-32 | Android 7.1 | macOs 10.12 x86-64 | Debian 8 ARM-32 | UOS 20 x86-64 |
| Windows 7 x86-32 | CentOS 7 x86-64 | macOs 11.04 x86-64 | Debian 8 PPC-32 Big Endian | UOS 20 ARM-64 | |
| Windows 7 x86-64 | CentOS 8 x86-64 | Debian 9 ARM-64 | 银河麒麟 x86-64 | ||
| Windows 10 x86-64 | Ubuntu 18.04 x86-64 | Debian 9 MIPS-32 | |||
| Windows Server 2003 x86-32 | Ubuntu 20.04 x86-64 | Debian 9 MIPS-64 | |||
| Windows Server 2008 x86-64 | Debian 7.3 x86-32 | Debian 9 MIPS-32 Big Endian | |||
| Windows Server 2012 x86-64 | Redhat 7 x86-64 | OpenWrt 19 MIPS-32 | |||
| Windows Server 2016 x86-64 | OpenWrt 19 MIPS-64 | ||||
| OpenWrt 19 MIPS-32 Big Endian | |||||
| OpenWrt 19 MIPS-64 Big Endian | |||||
| Buildroot 2017 SuperH-32 | |||||
| Buildroot 2017 SuperH-32 Big Endian | |||||
| Buildroot 2017 SPARC-32 Big Endian | |||||
| Buildroot 2017 SPARC-64 Big Endian | |||||
| Buildroot 2017 M68K-32 Big Endian |
二、支持多种分析模式
深度分析模式
采用“基于硬件虚拟化技术”的动态分析方法实现指令级分析,分析过程中所有的数据获取和数据分析工作都在虚拟硬件层实现,不在虚拟操作系统中安装任何辅助分析工具,不对虚拟操作系统进行任何修改,从而保证分析过程的透明性,加强分析系统的仿真能力。通过该模式,可自动化对样本的恶意行为进行深度分析,支持提取TLS解密流量、系统蓝屏、引导扇区锁死等高级动态行为能力。
快速分析模式
新增硬件加速模块,对于样本分析人员来说,通过该模式可实现样本调试,减少环境搭建成本,降低工作量。
三、支持所有常见样本类型
天穹沙箱支持PE、ELF、Mach-O、APK等各种类型可执行程序,Office、PDF等各种文档类型,以及多媒体类型,脚本类,URL,压缩包,磁盘格式等800+文件格式的分析。尤其针对一些特殊复合格式样本,天穹沙箱支持智能化分析,包括:
- 支持多种类型邮件格式:eml、msg、oft、pst等格式
1)、支持检测钓鱼链接等信息
2)、支持自动提取衍生物及智能解压
3.支持网络流量存储格式:pcap、pcapng等
1)、支持网络活动追踪,包含域名,IP,URL,TCP/UDP,证书,SMTP,IMAP,POP,ICMP等信息
2)、支持提取流量文件,并自动化动态分析
3)、支持suricata威胁扫描,内置** 1.5w+ **检测规则
四、分析接口及报告
天穹沙箱在统一的系统架构、访问接口和报告格式之下,实现了对上述不同硬件架构、操作系统的虚拟机分析环境的支持。并且,整个平台高度模块化、乐高化,不同硬件架构、操作系统的虚拟机分析环境可以按需裁剪和拼装,组合出满足各种不同客户场景和应用形态的定制化沙箱系统。
在访问接口方面,除了网页、REST接口外,天穹沙箱平台还增加了FTP、SFTP、SMB、命令行等多种形式的访问接口,便于机器对机器的自动化对接与集成。在分析报告输出形式上,除了XML、HTML两种形式外,天穹沙箱平台还增加了Kafka、Syslog,以及JSON、PDF形式的分析结果输出,便于机读处理和人读理解。
支持云报告查询功能。天穹沙箱支持横向扩展,通过配置节点的方式构建分析集群。基于该特性,天穹沙箱构建了分析集群,基于静态+动态分析模式,日分析百万级的样本,并储备了**4亿+**的沙箱动态分析报告。通过该功能可查看历史分析报告。
此外,沙箱支持威胁告警检索模块,针对历史已分析样本,可通过IP、DNS、URL、风险等级等信息管理历史分析样本。
最后,天穹沙箱平台还在静态辅助分析、动态行为分析、分析数据提取、数据关联分析、人工智能分析、外部系统联动等方面增加了一百多项功能点。如在分析功能方面,新增了复合文件深度处理、分析参数智能选择、样本依赖关系分析、分析过程智能重启、分析过程智能终止、样本衍生物二次分析等诸多智能化的分析功能;在分析数据提取方面,新增了控制台命令行输出、用户行为模拟操作记录、shellcode上下文环境提取、strings字符类型标记、样本内嵌物识别与提取等不同维度的丰富数据;在人工智能方面,新增宏诱骗、动态行为序列分类等检测。
五、技术支持与反馈
星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们最求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。
天穹沙箱平台网址:https://sandbox.qianxin-inc.cn
