«Лаборатория Касперского» сообщила о крупном обновлении инструмента Kaspersky Research Sandbox, входящего в состав программного комплекса Kaspersky Threat Analysis для обнаружения киберугроз. Новый релиз продукта получил индекс 3.0 и расширенные возможности для анализа вредоносного ПО.
Kaspersky Research Sandbox представляет собой средство динамического анализа, позволяющее в изолированной защищённой среде (песочнице) исследовать исходные образцы файлов, находить индикаторы компрометации на основании поведенческого анализа и обнаруживать вредоносные объекты, которые не встречались ранее. Решение поддерживает автоматизированный анализ объектов в средах Windows, Linux и Android, более 200 типов файлов и свыше 1000 правил классификации вредоносного поведения файла по тактикам и техникам MITRE ATT&CK. Запатентованная технология ускоряет течение времени на виртуальной машине, что позволяет инициировать выполнение вредоносного кода, не дожидаясь истечения запрограммированного в нём времени ожидания. По завершении анализа система предоставляет подробный отчёт о поведении анализируемого файла, позволяющий реализовать подходящие меры противодействия.
Схема работы Kaspersky Research Sandbox (источник изображения: «Лаборатория Касперского» / kaspersky.ru)
В Kaspersky Research Sandbox версии 3.0 стали доступны средства интерактивной визуализации во время запуска образца в песочнице (режим VNC), интеграция с интерфейсом Microsoft AMSI (Antimalware Scan Interface) и программным комплексом Kaspersky Security Network. Также разработчиками были добавлены инструменты распаковки многоуровневых архивов и архивов tar.gz, включена поддержка выполнения больших файлов (до 1 Гбайт) и расширен статический анализ — теперь в нём отображаются строки, заголовки, разделы и таблицы экспорта и импорта, а также график энтропии исполняемых файлов.
Наряду с серьёзным техническим обновлением, был полностью переработан пользовательский интерфейс продукта. В частности, улучшилась визуализация страницы «Системные активности» (System Activities): теперь аналитики могут фильтровать представленные в отчёте данные и фокусироваться только на релевантных вредоносных процессах. Функция поиска в таблице истории позволяет быстрее находить результаты предыдущего анализа, что помогает ИБ-командам быстро возобновлять прошлые исследования. Более подробные сведения о доработках Kaspersky Research Sandbox 3.0 представлены в прилагаемой к системе документации.
Источник:
