แซนด์บ็อกซ์เป็นเทคนิคที่ใช้ในการอนุญาตให้มัลแวร์ดำเนินการในสภาพแวดล้อมที่มีการควบคุมและมีการควบคุม อย่างไรก็ตาม สภาพแวดล้อมนี้จำเป็นต้องดูสมจริงสำหรับซอฟต์แวร์เพื่อศึกษาและดูพฤติกรรมปกติ แต่หากตรวจพบพฤติกรรมหรือลักษณะที่ไม่ถูกต้อง ระบบจะกักกันหรือลบออก

พูดง่ายๆ สั้นๆ ก็คือ คุณสามารถมองว่าแซนด์บ็อกซ์เป็นการส่งผ่านไปยังมัลแวร์ได้ฟรี คุณสามารถทำสิ่งต่างๆ ได้ แต่ในสถานการณ์ที่มีการควบคุม โดยมีเป้าหมายเพื่อเลียนแบบสภาพแวดล้อมการปฏิบัติงานของผู้ใช้ปลายทางให้มากที่สุดเท่าที่จะเป็นไปได้ นี่เป็นแนวปฏิบัติที่ดีในการรันโค้ดที่ไม่ถูกต้องโดยไม่ต้องเสี่ยงมากเกินไป

องค์กรหลายแห่งใช้โปรแกรมป้องกันไวรัสและไฟร์วอลล์รุ่นใหม่สำหรับเทคนิคแซนด์บ็อกซ์แบบขยาย ตัวอย่างที่ทราบกันดีอยู่แล้วคือโซลูชัน SonicWall ซึ่งเป็นแพลตฟอร์มเครือข่ายหรือตัวบล็อก APT อีกครั้งสถานการณ์

คุณอาจกำลังคิดว่า ทำไมต้องมีไฟร์วอลล์? เป็นเรื่องปกติที่จะให้ความสำคัญกับความปลอดภัยของเครือข่ายในแซนด์บ็อกซ์เป็นอย่างมาก แต่คุณจะพบกับสิ่งเหล่านั้นได้หลากหลาย อย่างไรก็ตาม แซนด์บ็อกซ์อาจเป็นการใช้งานระบบเต็มรูปแบบ (เซิร์ฟเวอร์ที่สมบูรณ์) หรือระบบปฏิบัติการจำลองหรือเสมือนจริง

หากองค์กรของคุณใช้ไฟร์วอลล์ขั้นสูง เห็นได้ชัดว่าคุณจะมีตัวกรองการบุกรุกเพิ่มเติม เมื่อข้อมูลเข้ามา คุณสามารถค้นหาหรือรันขั้นตอนการประมวลผลได้ เป็นตัวอย่าง:

  1. ทำความรู้จักกับการกรองแหล่งที่มาของมัลแวร์ (การขึ้นบัญชีดำเว็บไซต์ที่ไม่ดี)
  2. ใช้การถอดรหัส SSL และการกรองตามลายเซ็น การดำเนินการนี้จะลบไฟล์ที่มีแฮชออก จากนั้นจึงวิเคราะห์เนื้อหาและการเชื่อมต่อ
  3. เมื่อเสร็จสิ้นทั้งสองขั้นตอนก่อนหน้านี้ จะเข้าสู่การวิเคราะห์ Sandbox ซึ่งประกอบด้วยการประเมินพฤติกรรมของซอฟต์แวร์ ไลบรารี โมดูล และทรัพยากรใดก็ตามที่มีอยู่ในเชิงลึก

บางครั้งการใช้แซนด์บ็อกซ์แบบรวมอาจทำให้ปวดหัวได้ เนื่องจากโหมดพาสซีฟ วิธีนี้ช่วยให้เนื้อหาผ่านไปได้อย่างง่ายดาย และมัลแวร์อาจแพร่กระจายก่อนที่จะดำเนินการ แฮชของมัลแวร์อาจไม่มีผลกับมัลแวร์แบบโพลีมอร์ฟิก

แซนด์บ็อกซ์ล้ำหน้ากว่าการประเมินมัลแวร์ตามลายเซ็นต์ แน่นอนว่า แซนด์บ็อกซ์สามารถทำงานร่วมกับมันได้ แต่ตอนนี้ แซนด์บ็อกซ์ขับเคลื่อนด้วย IA การป้องกันและคำจำกัดความจะดีพอๆ กับโมเดลที่ขับเคลื่อนโซลูชันเท่านั้น อย่างไรก็ตาม นี่คือการวิ่งมาราธอนอันไม่มีที่สิ้นสุด

ผู้เขียนโค้ดมัลแวร์ยังคงสามารถหลบเลี่ยงสภาพแวดล้อมแซนด์บ็อกซ์ได้ ซึ่งขึ้นอยู่กับความคิดสร้างสรรค์ของพวกเขา แต่มีเทคนิคที่ทราบกันดีอยู่แล้วในการทำเช่นนั้น ซึ่งควรค่าแก่การกล่าวถึงเทคนิคในการตรวจจับแซนด์บ็อกซ์ (แตกต่างจากสถานการณ์จริง) การใช้ประโยชน์จากอาการอ้าปากค้างและจุดอ่อนจากแซนด์บ็อกซ์เอง หรือการตั้งค่า ตัวกระตุ้นหรือ "ระเบิดลอจิก" บางตัวที่สามารถกระตุ้นคำสั่งล่าช้าได้

เนื่องจากแซนด์บ็อกซ์ถือได้ว่าเป็นกลไกการศึกษาพฤติกรรมของมัลแวร์ เราจึงสามารถมุ่งหน้าสู่วิศวกรรมย้อนกลับได้โดยตรง หากคุณไม่คุ้นเคยกับคำนี้ นี่เป็นเทคนิคที่ใช้ในการย้อนกลับจากซอฟต์แวร์ที่ปฏิบัติการได้ และสร้างฐานขององค์ประกอบและความสามารถของโค้ดที่เข้าใจได้ใหม่

โดยทั่วไปจะทำเมื่อแหล่งที่มาของรหัสปฏิบัติการไม่พร้อมใช้งาน

ในบันทึกส่วนตัว วิศวกรรมย้อนกลับเป็นหัวข้อที่ยากที่สุดในซอฟต์แวร์ ต้องมีรากฐานที่มั่นคงของโค้ดระดับต่ำและภาษาแอสเซมเบลอร์ หากคุณสนใจในการเข้ารหัสมัลแวร์ หรือหากคุณเป็นนักพัฒนาที่มีประสบการณ์ คุณควรคุ้นเคยกับเครือข่ายและการเข้ารหัส และมีความเพียรพยายามมากยิ่งขึ้น ต้องใช้การลงทุนจำนวนมากในเวลาเพื่อทำความเข้าใจว่ามัลแวร์กำลังทำอะไรอยู่

บริบทของวิศวกรรมย้อนกลับของมัลแวร์โดยพื้นฐานแล้วศึกษาเกี่ยวกับการติดไวรัส การใช้ประโยชน์ และการกรองเทคนิคของซอฟต์แวร์ แน่นอนว่าสิ่งนี้ต้องมีสภาพแวดล้อมที่มีการควบคุมซึ่งคุณสามารถวิเคราะห์สิ่งนี้ได้ ... สวัสดี คุณ Sandbox!

การวิเคราะห์ซอฟต์แวร์สามารถทำได้ในสองโหมด การวิเคราะห์ คงที่ เป็นมากกว่าการแยกส่วนโปรแกรมเล็กน้อย และการวิเคราะห์ไดนามิกคือเมื่อโปรแกรมทำงานและมีการตรวจสอบพฤติกรรม

ห้องปฏิบัติการทดสอบสำหรับวิศวกรรมย้อนกลับควรนอกเหนือไปจากสภาพแวดล้อมเสมือนจริงที่เราอาจใช้สำหรับการทดสอบการเจาะระบบ ไปสู่แซนด์บ็อกซ์ที่แข็งแกร่งยิ่งขึ้น ซึ่งจะหยุดหรืออย่างน้อยก็นำเสนอการควบคุมที่แข็งแกร่งสำหรับการโต้ตอบภายนอกจากมัลแวร์

วิธีที่ดีในการเริ่มต้นคือการสร้างระบบแซนด์บ็อกซ์วิศวกรรมย้อนกลับแบบแยกเดี่ยวโดยไม่มีอินเทอร์เน็ต และหากทำไม่ได้ ให้ลองระบบนั้นอยู่นอกเครือข่ายในบ้านของคุณเป็นอย่างน้อย

เมื่อคำนึงถึงทั้งหมดนี้ คุณสามารถขยายขนาดการวิเคราะห์มัลแวร์ของคุณด้วยการวิเคราะห์ด้วยตนเอง คงที่ โต้ตอบ หรืออัตโนมัติเต็มรูปแบบ โดยแต่ละรายการจะมอบคุณประโยชน์และกำหนดเป้าหมายเกณฑ์การประเมินเฉพาะ

องค์ประกอบทั้งสองเป็นแบบจรดปลายเท้าหากคุณสงสัยพอที่จะค้นคว้าเกี่ยวกับมัลแวร์และวิธีการทำงาน ความปลอดภัยและมัลแวร์มีการพัฒนาทุกวัน และแนวโน้มนี้จะกลายเป็นมัลแวร์ที่ซับซ้อนมากขึ้นเมื่อคุณอ่านข้อความนี้

อัพเดทตัวเองอยู่เสมอและให้ความรู้ตัวเองเพื่อหลีกเลี่ยงการติดเชื้อ

การล่าสัตว์ที่มีความสุข :)