一般情况下,安全分析师们会使用沙箱判断该文件或者程序是否为恶意。殊不知这只是沙箱的其中一个用途,其实沙箱也可以当免费网盘使用,既不限速,还不限容量,妥妥白嫖。
识别威胁
笔者常常会下载一些开源软件来提高分析效率,开源软件固然好用,但是风险不可控,尤其是现在供应链攻击频发。所以下载软件后会丢到s沙箱看看软件是不是恶意的,对外连接ip是否正常,这样使用的时候就不用担心电脑被黑。渐渐的每次新装虚拟机器都会直接在沙箱找工具,省了不少事。
巧当杀软
通常情况下一台办公电脑就装一个杀软,多则三个(我没见过更多的)。其实沙箱也可以当杀软,沙箱本身有多引擎,多引擎的检测能力没话说,集合各家厂商的杀软检测能力,可比本机就一个360要强得多。另外沙箱除了多引擎还有背后的分析师团队,人工迭代升级沙箱的分析能力。所以主机装软件前丢沙箱跑一跑,然后沙箱再周期性跑跑这个软件,随着不断的迭代升级说不定就能发现有意思的东西。
几个建议
1. 给样本做个人工归类标签,比如xxx 和 yyy都是办公工具,zzz是木马。这样筛选的时候方便,现在找个历史的工具得翻好几页。
2. 加一个历史样本全部重新分析功能,虽然这个样本在当时分析的时候不是恶意的,但是随着后端分析的升级迭代,最新的结果也得同步给用户呀,要不怎么知道电脑有木有被黑。
S沙箱地址:
