Обзор Dr.Web vxCube

Дата: 29.10.2020. Автор: Dr.Web. Категории: Статьи по информационной безопасности
Обзор Dr.Web vxCube

Dr.Web vxCube — это веб-сервис, который анализирует потенциально вредоносные файлы, формирует подробный отчет об их поведении в заданных условиях и подготавливает утилиту для обезвреживания обнаруженных угроз.

Для анализа Dr.Web vxCube использует техники аппаратной виртуализации. Это позволяет Dr.Web vxCube работать быстро и оставаться невидимым для анализируемого файла.

Вы можете загрузить любой из поддерживаемых типов файлов в анализатор, выбрать условия, в которых он будет исполняться на виртуальной машине, и влиять на ход выполнения анализа. После проверки вы получите полный технический отчет, а также видеоотчет о поведении файла в заданных условиях.

Особенности Dr.Web vxCube

Виртуальные машины сервиса имеют доступ в Интернет через выделенный прокси-сервер. Это позволяет анализировать поведение файла в полном объеме, особенно если его работа напрямую зависит от загрузки данных из сети.

Механизм анализатора работает на уровне гипервизора и не использует какое-либо дополнительное программное обеспечение (например, специальные драйверы для перехвата функций) в гостевой операционной системе. Это не позволяет исследуемому образцу обнаруживать или снимать перехваты.

Журнал событий ведется на уровне гипервизора, что делает обнаружение анализатора невозможным.

К анализируемой среде можно подключиться с помощью VNC-клиента (Virtual Network Computing) и влиять на процесс выполнения анализа.

Системные требования

Для работы с сервисом используйте один из следующих браузеров:

  • Google Chrome >= 49.0
  • Mozilla Firefox >= 44.0
  • Safari >= 10.0
  • Opera >= 39.0

В Windows XP рекомендуется использовать браузер Google Chrome. Кроме того, в Windows XP не гарантируется воспроизведение видео в браузере Mozilla Firefox.

Разрешение экрана не менее 1024х768 пикселей.

Если вы хотите управлять процессом анализа в интерактивном режиме, убедитесь, что в вашем браузере разрешено открытие всплывающих окон.

Поддерживаемые форматы файлов

Dr.Web vxCube умеет анализировать исполняемые файлы Windows (EXE, DLL, CPL, SYS, NATIVE APP), пакеты Android (APK), документы MS Office (MHT, RTF, DOC, DOCX, DOCM, DOTM, DOTX, WPS, XLS, XLSX, XLSM, XLSB, XLAM, XTLX, XTLM, SLK, IQY, PPT, PPTX, PPTM, PPSX, PPSM, SLDX, SLDM, PPA, PPAM, THMX, POTX, POTM, XML, ACCDB, PUB), документы в формате PDF, исполняемые файлы Java (JAR, CLASS), файлы сценарных языков (JS, VBS, WSF, JSE, VBE, PS1, BAT, SCT, XSL), файлы справки CHM, Windows-ярлыки LNK и файлы MOF и HTA.

Как работает Dr.Web vxCube

Пользователь загружает файл для проверки и указывает дополнительные настройки его анализа. После этого, Dr.Web vxCube анализирует файл и создает подробный отчет по результатам проверки. После окончания проверки можно изучить отчет.

Сервис автоматически обнаруживает любые угрозы, в том числе те, которые не обнаруживаются штатными антивирусами. Более того, в случае обнаружения угрозы в исследованном файле, Dr.Web vxCube автоматически создает лечащую утилиту Dr.Web CureIT!, которая предназначена для обнаружения и устранения только что выявленной сервисом угрозы на компьютерах под управлением ОС семейства от Windows XP SP3 до последней версии Windows 10.

Пример анализа файла

Рассмотрим работу сервиса Dr.Web vxCube на примере анализа исполняемого файла Windows.

Перейдите на страницу сервиса

Обзор Dr.Web vxCube

Чтобы получить доступ к сервису, необходима лицензия. Если у вас ее еще нет, получите демо-лицензию бесплатно. Для этого нажмите на кнопку «Попробовать бесплатно» и заполните регистрационную форму.

Обзор Dr.Web vxCube

С помощью кнопки «Обзор» укажите абсолютный путь к файлу, который необходимо проверить. В большинстве случаев тип файла определяется автоматически, в данном случае – это исполнимый exe-файл.

Обзор Dr.Web vxCube

Перед началом анализа, задайте дополнительные настройки.

Обзор Dr.Web vxCube

Использовать VNC. Функция доступна только в том случае, если она включена в текущую лицензию. Уточнить ее наличие можно в разделе «Лицензия». Использование VNC-клиента удобно, если вы выбрали более одной операционной системы и хотите влиять на процесс анализа в каждой из них.

Для активации функции установите флажок «Использовать VNC». После запуска анализа автоматически открываются дополнительные вкладки браузера. Вкладки подключаются к соответствующим виртуальным машинам через VNC-клиент. На каждой вкладке в верхней части расположен индикатор выполнения. Индикатор показывает процент завершения и текущее состояние анализа. Несмотря на то, что вкладки в браузере создаются сразу, может потребоваться некоторое время, чтобы подключиться к виртуальным машинам.

Если включена опция «Отслеживать все процессы при использовании VNC», то в отчет вносятся только те процессы, которые способствовали подозрительной активности.

Время выполнения файла в Dr.Web vxCube по умолчанию — 1 минута. Вы можете сократить или увеличить время, если это необходимо для конкретного файла. Например, вы можете увеличить время, если файлу требуется больше времени, чтобы проявить подозрительное поведение. Чтобы изменить время, передвиньте ползунок «Время выполнения файла» влево или вправо.

Ограничение на общий размер созданных файлов. По умолчанию общий размер файлов, созданных во время анализа, ограничивается 64 МБ. Вы можете увеличить его до 512 МБ.

Опция «Задать команду для запуска файла» позволяет задать команду запуска анализируемого файла. В качестве команды можно указывать любое приложение из стандартного пакета поставки Windows, например, rundll32.exe, regsvr32.exe, notepad.exe и др. Для использования команды необходимо в поле «Задать команду для запуска файла» указать требуемую команду.

С помощью специального параметра %SAMPLE% можно задать полный путь к анализируемому файлу. Этот пункт можно использовать для запуска исполняемых файлов с вызовом специальной экспортируемой функции. Например: rundll32 %SAMPLE%, ExportedFunction.

Тип подключения. По умолчанию используется VPN. Для некоторых типов подключения можно задать адрес прокси-сервера и параметры авторизации. Прокси используется только для TCP-подключений. Трафик других протоколов передается через VPN-сервер по умолчанию. Чтобы перенаправить UDP-трафик, установите флажок «Перенаправлять UDP».

Чтобы начать анализ файла, нажмите на кнопку «Анализировать».

Если анализируемая программа предоставляет пользовательский интерфейс (графический или интерфейс командной строки), то удобно использовать функцию VNC, чтобы взаимодействовать с объектом исследования. Выберете вкладку виртуальной машины и нажмите на кнопку «Использовать VNC».

Обзор Dr.Web vxCube

В новой вкладке браузера откроется экран выбранной виртуальной машины.

Обзор Dr.Web vxCube

По завершении анализа Dr.Web vxCube автоматически устанавливает степень опасности проверенного файла. Так, если файл был признан опасным, то автоматически создается особая сборка лечащей утилиты Dr.Web CureIT!, которая способна обнаружить и обезвредить только что выявленную новую угрозу. Помимо это, сервис Dr.Web vxCube формирует подробный технический отчет.

Обзор Dr.Web vxCube

Содержание отчета о проверенном файле

Манифест. Раздел присутствует только в отчетах об анализе пакетов Android и содержит следующую информацию из файла AndroidManifest.xml: имя пакета приложения, имя приложения, которое видит пользователь, внутренний номер версии, название и/или номер версии приложения, которые видит пользователь, разрешения, которые приложение запрашивает для своей работы.

Поведение. Раздел содержит краткую информацию об активности файла. Dr.Web vxCube отслеживает действия, зарегистрированные в процессе анализа файла на виртуальной машине, и распределяет их по категориям в зависимости от степени их вредоносности: вредоносное, подозрительное и нейтральное.

Обзор Dr.Web vxCube

Граф процессов. Этот раздел отсутствует в отчетах об анализе пакетов Android. Раздел содержит информацию о том, какие процессы проявили вредоносную активность во время запуска файла на гостевой операционной системе. Информация представлена в виде интерактивного графа с поясняющим блоком для каждого процесса.

Обзор Dr.Web vxCube

Описание. Раздел содержит подробную информацию о подозрительной активности файла, включая список задействованных объектов, подключений и т.д. Информация сгруппирована по категориям и подкатегориям, исходя из поведения конкретного файла.

Обзор Dr.Web vxCube

Файлы и дампы памяти. Раздел содержит две таблицы: Созданные файлы и Дампы памяти. Справа от названия каждой таблицы указано количество объектов, обнаруженных в ходе анализа.

Созданные файлы. Таблица содержит информацию о файлах, созданных в процессе анализа. В таблице отображаются путь, хэш и имя обнаруженной угрозы.

Обзор Dr.Web vxCube

Дампы памяти. Таблица содержит информацию о следующих объектах: дампы памяти, инжекты, блоки памяти, выделенные исходным файлом во время его выполнения. Выделенная память может содержать следы вредоносной активности. В таблице отображаются имя файла, хэш, уникальный идентификатор процесса (PID) и имя обнаруженной угрозы.

Обзор Dr.Web vxCube

Журнал API и намерения. Раздел содержит две таблицы: Журнал API и Намерения (последняя присутствует только в отчетах об анализе пакетов Android). Справа от названия каждой таблицы указано количество объектов, обнаруженных в ходе анализа.

Журнал API. В таблице «Журнал API» собрана информация обо всех событиях, произошедших на виртуальной машине во время запуска файла. Журнал API представляет собой структурированную в таблицу информацию из раздела Граф процессов.

Обзор Dr.Web vxCube

Намерения. В таблице «Намерения» перечислены намерения, которые были отправлены анализируемым приложением, чтобы запустить компоненты других приложений.

Карта сетевой активности. Раздел содержит информацию о том, куда производились подключения и какие данные передавались во время выполнения файла. Информация о направлении подключений представлена в виде интерактивной карты. Более подробную информацию по каждому подключению можно узнать в поясняющей таблице под картой.

Обзор Dr.Web vxCube

Телефонные звонки и SMS. Раздел присутствует только в отчетах об анализе пакетов Android и содержит информацию об исходящих телефонных звонках и SMS-сообщениях, которые были совершены анализируемым приложением. В таблице указаны телефонные номера получателей и тексты сообщений.

Лицензирование

В правом верхнем углу главного экрана Dr.Web vxCube расположена опция «Лицензия», которая открывает окно со следующей информацией:

  • Количество дней до истечения срока действия лицензии.
  • Имя владельца лицензии.
  • Дата и время активации лицензии.
  • Дата и время окончания срока действия лицензии.
  • Количество загруженных файлов и максимальное количество файлов, разрешенное лицензией.
  • Возможность использования VNC-клиента.
  • Возможность создания утилиты Dr.Web CureIt! для обезвреживания угроз.
  • Максимальный размер файла, разрешенный лицензией.
  • Максимальное время выполнения файла, разрешенное лицензией.
Обзор Dr.Web vxCube

Действие лицензии ограничивается по времени и по количеству уникальных файлов, загружаемых для анализа. Если вы загрузите два одинаковых файла, Dr.Web vxCube будет считать это одной загрузкой.

После того как лицензия закончится, вы не сможете загружать новые файлы и инициировать проверки. При этом вы сможете выполнять следующие действия:

  • Заходить на страницу сервиса.
  • Просматривать информацию о проверенных ранее файлах.
  • Скачивать архивы с отчетами о проверке.

В завершение обзора стоит упомянуть о том, что Dr.Web vxCube поддерживает API, который позволяет отправлять на анализ больше файлов за меньшее количество времени без участия человека и систематизировать результаты программным путем.

Dr.Web

Об авторе Dr.Web

Dr.Web – российский разработчик антивирусных программ и сервисов для предоставления услуг информационной защиты для корпоративных и частных пользователей.
Читать все записи автора Dr.Web

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *