样本智能分析平台(Automated Malware Analysis Sandbox,AMA-SANDBOX)是一套针对恶意样本进行智能分析鉴定的平台。依靠深度沙箱中自研的动态分析模块、静态分析模块以及稳定高效的任务调度框架,实现自动化、智能化、可定制化的样本分析能力。通过建设大规模分析集群,构建出包括深度学习在内的多个高覆盖率的恶意样本检测模型,能够快速得知样本的基本信息、触发行为、安全等级等信息,从而精准高效地对现网中的恶意样本进行打击。
多平台支持
支持企业运行最常用到的Windows和Linux操作系统。对于不同平台传播的不同样本哈勃都能够对其进行虚拟化运行、行为捕获以及恶意鉴定。同时针对企业办公设备移动化的发展趋势,哈勃也支持对Android系统移动终端的样本进行分析,进一步阻止来自智能手机等移动终端的攻击。
文件种类覆盖全面
目前样本智能分析平台支持常见可执行的文件、脚本、文档、压缩包、ELF文件、APK文件等多种文件格式的分析,同时具备脚本内容提取、文档宏提取、多重压缩包解压、密码猜解以及格式推断等多种高端能力,可实现对现网绝大部分种类文件的全面分析及处理。
可监控行为丰富
自研的动态行为监控模块,具备高可疑行为监控、网络发包监控、隐私窃取监控等能力。可以全方位监控样本运行后的动态行为,其涵盖的动态行为监控维度的广泛性在与国内外多个沙箱的对比中均处于领先地位。哈勃可支持json、pdf等多种格式的输出,并能够将丰富的样本行为对客户进行展示和自动化接入处理。
精准全面识别勒索/漏洞攻击
当前互联网勒索病毒和漏洞文档变种广泛,0day漏洞等利用方式也有愈演愈烈的趋势。对于变种漏洞而言,传统的病毒及漏洞识别维度难以将其全面覆盖,导致无法识别该类恶意样本。样本智能分析平台可根据加密文件和漏洞执行等关键行为挖掘恶意样本,使系统更加精准全面的识别勒索病毒和漏洞行为。
无风险式采集威胁情报
对样本运行过程中的网络行为进行采集,一直是网络安全防御中的一个难点。如果在现网中开始运行,或将导致不可预期的危害;如果不运行,则无法关联分析威胁情报。而哈勃可以采取先进的、无风险方式,采集样本发生的网络行为,同时避免恶意流量带来的危害。
识别对抗手段捕获恶意行为
采用传统的静态特征对样本进行识别,容易受到样本本身的加密、混淆、运行时库等因素的干扰。并且普通沙箱极易被样本有针对性地检测和绕过,导致发生系统误报和漏报。针对这种情况,样本智能分析平台能够充分激发样本行为,对反虚拟机、反调试器等行为进行反对抗,使系统对恶意行为定位更加精准,动静态结合准确率更高。