恶意代码分析与检测能力是网络安全的基础能力。静态分析与动态分析是当前恶意代码分析的主要方式,静态分析查其“形”,动态分析查其“行”,两者相辅相成,互相补充,缺一不可。而动态沙箱分析是动态分析的重要形式和组成部分,沙箱分析系统的能力直接决定了样本的快速自动化分析能力!
天穹沙箱是一款基于硬件虚拟化技术、软件动态分析技术、控制流完整性分析技术等技术方法研制的,面向软件行为动态分析的系统。天穹沙箱系统采用out-of-box分析模式,在分析环境透明性、行为分析粒度、样本分析能力、分析数据提取能力都优于Cuckoo沙箱及其他常见的基于in-box分析模式的沙箱系统。
天穹沙箱通过完全模拟虚拟环境中的各种硬件,在此基础上运行Windows、Linux、Android、macOS,以及UOS、Kylin等信创操作系统、IOT操作系统,构建一个纯净的、透明的、面向恶意代码分析和检测的虚拟化动态分析环境。天穹沙箱能够控制和操纵底层虚拟硬件的各个方面,可以直接从虚拟系统的CPU和内存等虚拟硬件读取所需的数据,不对虚拟操作系统进行任何修改,从而保证分析过程的透明性,避免潜在的恶意代码干扰和对抗。
得益于系统独特的分析架构,天穹沙箱支持指令级的动态分析,具备控制流转移异常检测、CPU模式异常切换检测、UAF攻击检测、shellcode执行检测等高级检测能力,并首创了boot sector动态加载检测、分析过程智能重启、虚拟系统时钟动态加速、操作系统崩溃检测等多项业界领先的分析功能。
此外,天穹沙箱系统在软件环境仿真、硬件特征仿真、数据环境仿真、用户交互仿真、网络环境仿真、延时机制处理等沙箱分析环境仿真方面做了大量的优化,突破了一百多种沙箱反制与动态分析对抗技术,可以对抗al-khaser、pafish等反虚拟化、反自动化分析工具的探测和干扰。
目前,天穹沙箱系统已经应用在文件威胁检测、样本深度分析、威胁情报提取等相关产品和服务中。
基于天穹沙箱系统的公网云沙箱服务即将上线,敬请期待!