样本智能分析平台简介
腾讯云样本智能分析平台(Automated Malware Analysis Sandbox,AMA-SANDBOX) 是一套恶意样本智能分析鉴定平台,依靠深度沙箱中自研的动态分析模块、静态分析模块以及稳定高效的任务调度框架,实现自动化、智能化、可定制化的样本分析;通过建设大规模分析集群,沉淀了包括深度学习在内的多个高覆盖率的恶意样本检测模型,能够可以得知样本的基本信息、触发的行为、安全等级等信息,从而精准高效地对现网中的恶意样本进行打击。
腾讯云样本智能分析平台的特性
支持多平台
支持企业中最常用到的 Windows 和 Linux 操作系统,对于不同平台上传播的样本都能进行虚拟化运行、行为捕获和恶意鉴定。同时针对企业办公移动化的趋势,样本智能分析平台也支持对 Android 平台上的样本进行分析,进一步阻止来自智能手机等移动终端的攻击。
种类全面
目前样本智能分析平台支持常见可执行文件(包括32位和64位)、脚本、文档、压缩包、ELF 文件、APK 文件等多种文件格式的分析,也支持脚本内容提取、文档宏提取、多重压缩包解压、密码猜解、格式推断等多种高级能力,从而可以对现网绝大部分文件类型进行全面的处理。
行为丰富
自研的动态行为监控模块,具备高可疑行为监控,网络发包监控,隐私窃取监控等能力,全方位监控样本运行后的动态行为,行为覆盖的全面性在国内外多个沙箱的对比中均处于领先地位。支持 json、pdf 等多种格式,将丰富的样本行为对客户进行展示和自动化接入处理。
挖掘高危
不仅对常规恶意样本具有极高的识别率, 还能针对性地诱发和监控病毒攻击活动产生的高危风险行为(包括利用漏洞、加密文件、修改登录密码等典型特征)。
样本防逃逸
采用远程沙箱的 SaaS 化服务,样本不会在客户网络中真实执行,同时样本智能分析平台自身具有高度真实模拟和样本反沙箱对抗的能力,能够防止样本从沙箱中逃逸,因此可以在不对真实环境产生危害的前提下,诱导和捕获更多的样本行为。
应用场景
当网站需要存储大量编辑产生内容(典型类型:下载网站)、用户上传内容(典型类型:论坛)时,一旦恶意文件被存放在网站上,借助网站进行二次传播,会给网站的访问者和网站自身声誉带来不可估量的损失,甚至导致网站被拦截和屏蔽。
将网站存储文件接入样本智能分析平台进行自动化扫描,可以提前发现恶意文件,删除和屏蔽对恶意文件的访问,减少网站存储文件带来的风险。
APT 攻击可能通过未修补的已知漏洞或者 0day 漏洞对主机发起攻击,还有可能在内网借助这些漏洞进行进一步的横向移动和攻击,导致攻击面的扩大化。
样本智能分析平台可以有效地诱发和监控漏洞样本的行为特征,识别已知和未知的漏洞攻击,进而捕获 APT 攻击,防止恶意 APT 渗透和传播。
大量攻击通过钓鱼邮件等社会工程学方式进入企业,如果不加以防范,员工随意打开邮件附件后,将会面临重要文件被加密勒索,系统被植入后门,或者其它形式的安全风险。
将邮件附件接入样本智能分析平台进行自动化扫描,可以识别其中的勒索病毒、漏洞利用文档和其它类型的恶意样本,及时删除钓鱼邮件,保障邮件系统安全。
同时,样本智能分析平台还可以识别其它不明来源下载的恶意文件,包括小型破解网站、小型论坛等,防范更多种类的钓鱼攻击。
企业内网存在大量文件分享的需求,通常会使用 oa 网站、ftp 服务、邮件或内部通讯工具等方式完成。大量恶意样本在入侵企业内网之后,会利用这些分享的文件继续进行横向传播,扩展攻击范围。
将企业内网中分享的文件接入样本智能分析平台进行自动化扫描,可以检测识别出其中的恶意文件,阻断其在内网中的横向传播,打造更加安全的企业内网环境。
