Экспорт результатов выполнения в архив JSON

Если выбрать вариант JSON archive (.zip) при экспорте всех результатов выполнения, Kaspersky Research Sandbox сохранит результаты выполнения в виде архива .zip. Архив содержит файлы .json. Файлы могут содержать до 10 000 объектов JSON, за исключением файла sample-and-execution-properties.json. Этот файл содержит только один объект JSON. Снимки экрана экспортируются в виде папки.

По умолчанию формат имени архива следующий:<MD5 объекта>.zip. При необходимости вы можете изменить имя архива.

Каждый архив .zip содержит файлы, описанные в таблице ниже. Если данные по определенному разделу отсутствуют, соответствующий файл в архив не включается.

Экспортируемые результаты для многофайловых объектов содержат только файлы sample-and-execution-properties.json, sample-content.json и detection-names.json (если доступны). Архив sample-content.zip не включен в файл архива JSON (.zip) и может быть экспортирован отдельно.

Информацию об ограничениях на экспорт сокращенных отчетов см. в разделе Сокращенные (краткие) отчеты для файлов.

Обратите внимание, что в текущей версии Kaspersky Research Sandbox файл loaded-pe-images.json переименован в loaded-images.json.

Содержимое архива JSON

Файл / имя объекта JSON (формат single-json)	Описание
sample-and-execution-properties.json SampleAndExecutionProperties	Информация о параметрах объекта и настройках выполнения. Этот файл содержит только один объект JSON. `TaskID` – идентификатор (GUID) созданной задачи выполнения файла. `Created` – дата и время начала выполнения файла (например, 2018-01-17T15:30:16.077Z). `Processed` – дата и время завершения выполнения файла (например, 2018-01-17T15:39:02.673Z). `AvBasesVersion` – дата и время обновления антивирусных баз (например, 2018-01-17T18:36:00Z). `TaskState` – статус задачи выполнения файла (например, completed). `Zone` – цвет уровня опасности объекта. `Status` – статус выполняемого объекта (например, Malware). `ErrorCode` – код ошибки (например, ProcessingFailed). `ErrorMessage` – сообщение об ошибке. `OriginalFileName` – первоначальное имя загруженного файла. `FileName` – имя выполняемого файла. `ArchiveSampleName` – путь внутри архива к анализируемому объекту, если он был загружен в архив. `FileExtension` – расширение выполняемого файла (например, js). `FileType` – автоматически определяемый тип выполняемого файла. `FileSize` – размер выполняемого файла в байтах (например, 539136). `Md5` – MD5-хеш выполняемого объекта. `Sha1` – SHA1-хеш выполняемого объекта. `Sha256` – SHA256-хеш выполняемого объекта. `SSDeep` – SSDeep-хеш выполняемого объекта. `VirtualMachineID` – среда выполнения образца (например, Win7_x64). `EmulationTimeSeconds` – время выполнения объекта в секундах (например, 500). `Detects` – информация об обнаруженных объектах: `detectTechnology` – технология, которая использовалась для обнаружения объекта. `isNotAVirus` – указывает, является ли обнаруженный объект вредоносным. `severity` – уровень опасности обнаруженного объекта. `threat` – название обнаруженного объекта. `screenshots` – список созданных снимков экрана. `DecryptHTTPS` – логический параметр. Указывает, был ли расшифрован HTTPS-трафик, сгенерированный выполняемым объектом. `PreScan` – логический параметр. Указывает, был ли выполнен полный (статический и динамический) анализ объекта, включая выполнение в песочнице. `PreScanState` – состояние этапа статического анализа: `CalcParam` – логический параметр. Указывает, завершен ли расчет параметров. `AvsScan` – логический параметр. Указывает, завершена ли проверка объекта. `statPars` – логический параметр. Указывает, завершен ли статический анализ. `Channel` – имя указанного сетевого канала, который должен использоваться объектом для доступа в интернет. `UsedChannel` – имя сетевого канала, который фактически использовался объектом для доступа в интернет. `IsDataAvailable` – указывает, имеются ли данные отчета для задачи. `UnpackPassword` – пароль для архива. `Url` – просмотренный веб-адрес. `DocPassword` – пароль для защищенного документа. `CmdLine` – параметры командной строки, которые использовались для выполнения объекта в песочнице. `SampleType` – тип объекта (например, простой). `CalculatedParams` – автоматически рассчитанные параметры выполнения: `ExecEnv` – среда выполнения. `ExecTime` – время выполнения. `ClickLinks` – логический параметр. Указывает, должно ли приложение Kaspersky Research Sandbox анализировать ссылки в документах, которые были открыты в песочнице. `ThreatScore` – оценка угрозы файлов и веб-адресов, основанная на метриках и данных, полученных во время выполнения задачи. `AppsCloseTimeout` – время ожидания закрытия приложения. `Userscan` – статус задачи проверки YARA и Suricata для объекта и его извлеченных файлов: `Yara`: `Status` – статус сработавшего правила YARA (matched), см. описание ниже. `Filename` – имя загруженного файла, содержащего правила YARA. `ScanningTime` – дата и время срабатывания правила YARA, указанные в формате ISO 8601:2004 (ГГГГ-ММ-ДДTчч:мм:ссZ). `Suricata`: `Status` – статус сработавшего правила Suricata, см. описание ниже. `Filename` – имя загруженного файла, содержащего правила Suricata. `ScanningTime` – дата и время срабатывания правила Suricata. Возможные значения параметра `Status` для правил YARA и Suricata: `not scanned` – правила не были отправлены. `created` – задача проверки создана. `scanning` – выполняется задача проверки. `matched` – проверка успешно завершена, есть обнаружения. `truncated` – проверка Suricata успешно завершена, есть обнаружения. Некоторые результаты были удалены: осталось не более 50 000 записей, не более 25 совпадений на правило. Этот статус возвращается только для правил Suricata, результаты проверки с использованием правил YARA не фильтруются. `not matched` – проверка успешно завершена, обнаружений нет. `syntax error` – правила не проверяются регулярным выражением. `processing error` – произошла ошибка в процессе проверки с использованием проверенных правил. Могут быть обнаружения. `VncAccess` – указывает, использовался ли для задачи доступ к VNC: `true` – доступ к VNC использовался. `false` – доступ к VNC не использовался. `VncSampleAutostart` – указывает, был ли включен автоматический запуск образца в режиме VNC. `true` – автоматический запуск образца был включен. `false` – автоматический запуск образца был выключен. `VncStarted` – дата и время запуска VNC для задачи. `VncTimeLeft` – время до отключения доступа к VNC, в секундах. `VncStatus` – указывает, активен ли в данный момент VNC для задачи. `true` – VNC в данный момент активен. `false` – VNC в данный момент неактивен. `DisableClicker` – указывает, был ли отключен кликер в режиме VNC. `true` – кликер был отключен. `false` – кликер был включен.
detection-names.json DetectionNames	Информация об объектах, обнаруженных при выполнении файла. `Zone` – зона опасности, к которой относится объект (например, красная для вредоносного ПО, желтая для рекламных или других программ, оранжевая для недоверенных веб-адресов, зеленая для безопасных объектов, серая в случае, если категория не определена). `Threat` – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker). `DetectTechnology` – технология, которая использовалась для обнаружения объекта. `AvsScaner` – объект обнаружен во время статического анализа. `SBScaner` – объект обнаружен в журналах песочницы. `KPSN` – объект обнаружен Kaspersky Private Security Network.
triggered-network-rules.json TriggeredNetworkRules.	Информация о правилах Suricata, сработавших при анализе трафика от выполняемого объекта. `Zone` – зона (уровень) опасности сетевого трафика, обнаруженного правилом Suricata (например, High). `RuleName` – имя правила Suricata (например, Trojan.Agent.HTTP.C&C).
triggered-yara-rules.json TriggeredYaraRules	Информация о правилах YARA, которые срабатывали при анализе трафика от выполняемого файла и от файлов, которые были переданы или изменены во время выполнения. `RuleName` – название сработавшего правила YARA. `FileType` – источник файла, обнаруженный правилом YARA (Sample, Transferred, Dropped). `Zone` – зона опасности файла, обнаруженного правилом YARA. `Status` – уровень опасности файла, обнаруженного правилом YARA. `MD5` – MD5-хеш файла, обнаруженного правилом YARA. `Tags` – теги правила YARA, разделенные запятыми.
triggered-custom-suricata-rules.json TriggeredSuricataRules	Информация о пользовательских правилах Suricata, которые срабатывали при анализе трафика от выполняемого файла и от файлов, которые были переданы или изменены во время выполнения. Структура ответа содержит данные, полученные непосредственно от сканера Suricata. Более подробную информацию о структуре данных можно найти в документации Suricata. `timestamp` – дата и время регистрации оповещения. `event_type` – тип события, например alert. `flow_id` – идентификатор потока. `src_ip` – IP-адрес источника. `src_port` – номер порта источника. `dest_ip` – IP-адрес назначения. `dest_port` – номер порта назначения. `proto` – используемый протокол, например UDP. `app_proto` – протокол уровня приложения, например TLS. `packet_info` – информация о пакете: `linktype` – тип ссылки, например 1. `alert` – описание оповещения: `action` – выполненное действие. Возможные значения: allowed и blocked. `gid` – идентификатор группы. `signature_id` – указанный пользователем числовой идентификатор правила. Каждое правило в наборе имеет уникальный идентификатор. `rev` – версия правила, указанная пользователем. Пользовательские версии позволяют изменять номера версий одного и того же правила, сохраняя при этом один и тот же идентификатор `signature_id`. `signature` – название обнаруженного объекта. `category` – категория оповещения. `severity` – уровень опасности оповещения. `packet` – пакет.
screens (папка)	Набор снимков экрана (изображения в формате PNG), которые были сделаны во время выполнения файла.
suspicious-activities.json SuspiciousActivities	Информация о зарегистрированных подозрительных действиях. `Name` – код описания подозрительного действия (например, RegistryValueUpdate). `Description` – полное описание действия. `Zone` – зона (уровень) опасности зарегистрированного действия (например, High). `Severity` – числовое значение уровня опасности зарегистрированного действия (например, 555). `Techniques` – структура, содержащая коды тактик, техник и субтехник MITRE ATT&CK, с которыми может быть связано данное действие. `Props` – атрибутивное описание зарегистрированного действия. Файл также содержит другие поля, используемые системой в технических целях (связывание и категоризация действий).
suspicious-activities-android.json SuspiciousActivitiesAndroid	Информация о зарегистрированных подозрительных действиях Android. `ComponentClass` – класс компонента (например, action). `ComponentType` – тип компонента (например, DEFAULT). `Zone` – зона (уровень) опасности зарегистрированного действия (например, Medium). `Severity` – числовое значение уровня опасности зарегистрированного действия (например, 400). `Name` – название зарегистрированного действия (например, Copy file). `Description` – описание зарегистрированного действия (например, Copy file). `Properties` – атрибутивное описание зарегистрированного действия.
loaded-images.json LoadedImages	Информация о загруженных образах, обнаруженных во время выполнения файла. `Process ID` – целочисленный идентификатор процесса. `Thread ID` – целочисленный идентификатор потока. `Path` – полный путь к загруженному образу (например, \\Windows\\SysWOW64\\rpcrt4.dll). `Size` – размер загруженного образа в байтах (например, 555). `Image Base` – предпочтительный адрес первого байта образа при загрузке в память. Файл также содержит другие поля, используемые системой в технических целях (связывание и категоризация действий).
file-operations.json FileOperations	Информация о файловых операциях, зарегистрированных во время выполнения файла. `Process ID` – целочисленный идентификатор процесса. `Thread ID` – целочисленный идентификатор потока. `Operation` – название операции (например, FILE_CREATED). `Path` – атрибут `Name` операции (например, $selfpath\\KL_APT_SANDBOX_TEST_MARKER_FILE). `Size` – атрибут `Size` операции (например, 555).
registry-operations.json RegistryOperations	Информация о выполненных операциях с реестром операционной системы, обнаруженных во время выполнения файла. `Process ID` – целочисленный идентификатор процесса. `Operation` – название операции (например, REG_CREATE_KEY). `Key` – атрибут `Key` операции (например, \\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\DisableUserModeCallbackFilter). `Thread ID` – целочисленный идентификатор потока. `Value Name` – атрибут `Value` операции (например, 1).
process-operations.json ProcessOperations	Информация о взаимодействиях файла с различными процессами, зарегистрированных во время выполнения файла. `Process ID` – целочисленный идентификатор процесса. `Operation` – название операции (например, PROCESS_STARTED). `Path` – имя и путь процесса, взаимодействовавшего с выполняемым файлом (например, $windir\\explorer.exe). `Command Line` – использовавшиеся параметры командной строки. `Requestor Process ID` – целочисленный идентификатор процесса инициатора запроса.
sync-operations.json SyncOperations	Информация об операциях созданных объектов синхронизации, зарегистрированных во время выполнения файла. `Process ID` – целочисленный идентификатор процесса. `Operation` – тип созданного объекта синхронизации (например, мьютекс). `Name` – имя созданного объекта синхронизации (например, Skyz.Messaging.ThreadPooling.MyAppSingleInstance).
downloaded-files.json TransferredFiles	Информация о файлах, извлеченных из сетевого трафика во время выполнения файла. `Zone` – уровень опасности загруженного файла (например, Red). `Md5` – MD5-хеш загруженного файла. `Sha1` – SHA1-хеш загруженного файла. `Sha256` – SHA256-хеш загруженного файла. `Name` – имя загруженного файла. `DetectionNames` – название обнаруженного объекта (например, Trojan-Downloader.Script.Generic). `Traffic` – трафик, из которого был извлечен загруженный файл (HTTP или HTTPS). `TriggeredYaraRules` – список сработавших правил YARA. `Size` – размер загруженного файла (в байтах). `Type` – тип загруженного файла.
network.pcap	Информация о снимках сетевой активности.
matrix.json Mitre	Информация об известных тактиках, технологиях и процедурах (TTP), а также сопоставление с классификацией MITRE ATT&CK для выполняемого объекта. Для `matrix_format=full`: `Id` – идентификатор тактики. `Name` – название тактики. `Url` – веб-адрес описания тактики на веб-сайте MITRE ATT&CK. `Technique` – информация о технологиях, содержит следующее: `Id` – идентификатор технологии. `Name` – название технологии. `Url` – веб-адрес описания технологии на веб-сайте MITRE ATT&CK. `SubTechniques` – описание субтехнологий. Для `matrix_format=short`: `ID` – идентификатор тактики. `Name` – название тактики. `URL` – веб-адрес описания тактики на веб-сайте MITRE ATT&CK. `Techniques` – информация о технологиях, содержит следующее: `ID` – идентификатор технологии. `Name` – название технологии. `URL` – веб-адрес описания технологии на веб-сайте MITRE ATT&CK.
sample-content.json SampleContent	Информация о содержимом упакованного файла. Для распаковки архива используйте пароль по умолчанию `infected`. `Zone` – цвет зоны (уровня) опасности файла. `MD5` – MD5-хеш файла. `SHA1` – SHA1-хеш файла. `SHA256` – SHA256-хеш файла. `Path` – имя файла и путь к нему от корневой папки загруженного объекта. `Packer` – имя упаковщика, с помощью которого упакован загружаемый объект. `Type` – автоматически определенный тип файла. `DetectionNames` – названия обнаруженных объектов (например, HEUR:Exploit.Script.Blocker). `Size` – размер файла в байтах.
sample-content.zip	Архив, содержащий файлы, входящие в состав упакованного объекта. Для распаковки архива используйте пароль по умолчанию `infected`. Архив можно экспортировать только отдельно. При экспорте всех результатов задачи он не экспортируется.
manifest.zip	Информация о манифесте приложения Android.
dropped-files.json DroppedFiles	Информация о файлах, сохраненных выполняемым файлом. `Zone` – уровень опасности измененного файла (например, Red). `Md5` – MD5-хеш измененного файла. `Sha1` – SHA1-хеш сохраненного файла. `Sha256` – SHA256-хеш измененного файла. `Size` – размер измененного файла (в байтах). `Type` – тип измененного файла. `DetectionNames` – название обнаруженного объекта (например, Trojan-Downloader.Script.Generic). `FileName` – имя измененного файла (например, sample.exe). `TriggeredYaraRules` – список сработавших правил YARA.
static-modules.json	Модули приложений Android, обнаруженные с помощью статического анализа. `Path` – путь к модулю приложения. `Description` – описание модуля приложения.
static-permissions.json	Разрешения приложений Android, обнаруженные с помощью статического анализа. `Status` – статус (уровень опасности) разрешения. `Severity` – серьезность опасности разрешения. `Permission` – значение разрешения. `Description` – подробное описание разрешения.
static-components.json	Компоненты приложений Android, обнаруженные с помощью статического анализа. `Status` – статус (уровень опасности) компонента. `Severity` – серьезность опасности компонента. `Component` – имя компонента. `Description` – подробное описание компонента `Intent filters` – список фильтров, примененных к компоненту.
static-bundle.json	Пакет приложения Android (APK). `Type` – тип файла (модуль, значок или изображение). `Path` – путь к файлу и его имя. `Size` – размер файла. `MD5` – MD5-хеш файла.
static-images.json	Образы пакета приложения Android.
network-traffic-tables.json NetworkActivities;	Информация о сетевых активностях, зарегистрированных во время выполнения файла. Данные сохраняются в корневом объекте JSON с атрибутами, описанными ниже в этой таблице, или в отдельных файлах CSV с соответствующими именами.
Раздел IpSessions	Массив, содержащий информацию о сеансах IP, зарегистрированных во время выполнения файла. `source_address` – IP-адрес источника. `dest_address` – IP-адрес назначения. `start_time` – дата и время начала сеанса IP. `end_time` – дата и время завершения сеанса IP. `data_length` – объем данных, отправленных и полученных в рамках сеанса IP (в байтах). `packets_count` – количество пакетов, отправленных и полученных в рамках сеанса IP.
Раздел TcpSessions	Массив, содержащий информацию о сеансах TCP, зарегистрированных во время выполнения файла. `source_port` – номер исходного порта (0–65536). `dest_port` – номер порта назначения (0–65536). `data_length` – объем данных, отправленных и полученных в рамках сеанса TCP (в байтах). `packets_count` – количество пакетов, отправленных и полученных в рамках сеанса TCP. `packets_syn` – количество пакетов SYN, отправленных и полученных в рамках сеанса TCP. `packets_fin` – количество пакетов FIN, отправленных и полученных в рамках сеанса TCP. `packets_outoforder` – количество пакетов, отправленных и полученных в неправильном порядке в рамках сеанса TCP. `packets_acks_postloss` – количество потерянных пакетов ACK из числа отправленных и полученных в рамках сеанса TCP. `packets_acks_duplicate` – количество дублированных пакетов ACK, отправленных и полученных в рамках сеанса TCP. `window_in_diff` – количество входящих сегментов (байтов), которые могут быть отправлены с сервера клиенту до получения подтверждения (пакета ACK). `window_out_diff` – количество исходящих сегментов (байтов), которые могут быть отправлены от клиента к серверу до получения подтверждения (пакета ACK). `source_ip` – IP-адрес источника. `destination_ip` – IP-адрес назначения.
Раздел UdpSessions	Массив, содержащий информацию о сеансах UDP, зарегистрированных во время выполнения файла. `source_port` – номер исходного порта (0–65536). `dest_port` – номер порта назначения (0–65536). `data_length` – объем данных, отправленных и полученных в рамках сеанса UDP (в байтах). `packets_count` – количество пакетов, отправленных и полученных в рамках сеанса UDP. `source_ip` – IP-адрес источника. `destination_ip` – IP-адрес назначения.
Раздел DnsSessions	Массив, содержащий информацию о сеансах DNS, зарегистрированных во время выполнения файла. `id` – идентификатор сообщения DNS. `qr` – индикатор запроса/ответа (0 – запрос DNS, 1 – ответ DNS). `rcode` – код ответа DNS. `data_length` – объем данных, отправленных и полученных в рамках сеанса DNS (в байтах). `packets_count` – количество пакетов, отправленных и полученных в рамках сеанса DNS. `dns_records` – записи в сообщении. Для каждой записи отображается ее имя, раздел и тип. Если доступно, отображаются поля TTL и Данные.
Раздел FtpSessions	Массив, содержащий информацию о сеансах FTP, зарегистрированных во время выполнения файла. `CommandName` – имя команды. `CommandArg` – аргумент команды. `ReplyCode` – код ответа. `ReplyMsg` – ответное сообщение от сервера. `Md5` – файл, который был передан при выполнении команды. `DataChannelClientIp` – адрес FTP-клиента. `DataChannelServerIp` – адрес FTP-сервера. `DataChannelServerPort` – номер порта FTP-сервера.
Раздел HttpSessions	Массив, содержащий информацию о запросах HTTP, зарегистрированных во время выполнения файла. `Status` – зона (уровень) опасности URL в HTTP-запросе. `Scheme` – схема URL (тип трафика). `Method` – метод отправки HTTP-запроса. Можно использовать один из следующих методов HTTP: GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH. `URL` – веб-адрес, к которому был зарегистрирован запрос. `ResponseCode` – код ответа на HTTP-запрос. `ResponseLength` – размер ответа на HTTP-запрос в байтах. `RequestHeaders` – стандартные имена заголовков запросов на основе протокола передачи гипертекста RFC2616 Hypertext Transfer Protocol -- HTTP/1.1. Предоставляются в виде пар <имя>:<значение>. `ResponseHeaders` – стандартные имена заголовков ответов на основе протокола передачи гипертекста RFC2616 Hypertext Transfer Protocol -- HTTP/1.1. Предоставляются в виде пар <имя>:<значение>. `RequestBody` – тело запроса (`Md5`, `Name`, `Size`). `ResponseBody` – тело ответа (`Md5`, `Name`, `Size`).
Раздел SslSessions	Массив, содержащий информацию о сеансах SSL, зарегистрированных во время выполнения файла. `Version` – версия протокола TLS. `Cipher` – криптографический алгоритм. `Curve` – класс кривой. `ServerName` – имя сервера. `Subject` – имя субъекта. `Issuer` – имя источника.
Раздел IrcSessions	Массив, содержащий информацию о сеансах IRC, зарегистрированных во время выполнения файла. `Command` – имя команды. `User` – имя пользователя. `Nick` – псевдоним пользователя. `Channels` – названия каналов для подключения во время сеанса IRC. `Sender` – псевдоним отправителя команды. `Channel` – имя канала для отправки сообщения во время сеанса IRC. `Text` – текст, отправленный во время сеанса IRC.
Раздел Pop3Sessions	Массив, содержащий информацию о сеансах POP3, зарегистрированных во время выполнения файла. `Type` – тип команды. `Command` – результат команды. `Arguments` – аргументы команды. `Message` – описание результата команды.
Раздел SmbSessions	Массив, содержащий информацию о сеансах SMB, зарегистрированных во время выполнения файла. `DestinationIP` – IP-адрес назначения сеанса. `DestinationPort` – номер порта назначения (0–65536). `Version` – версия протокола. `CommandName` – имя команды. `CommandStatus` – статус выполнения команды. `Md5` – файл, переданный во время выполнения команды.
Раздел SmtpSessions	Массив, содержащий информацию о сеансах SMTP, зарегистрированных во время выполнения файла. `From` – имя и адрес отправителя. `To` – имена и адреса получателей. `Subject` – тема сообщения. `Files` – список MD5-хешей прикрепленных файлов.
Раздел HttpProxySessions	Массив, содержащий информацию о сеансах прокси-сервера HTTP, зарегистрированных во время выполнения файла.
Раздел SocksSessions	Массив, содержащий информацию о сеансах SOCKS, зарегистрированных во время выполнения файла. `Version` – версия протокола SOCKS. `RequestHost` – IP-адрес или полное имя домена (FQDN), на который был сделан запрос на подключение по протоколу SOCKS. `RequestPort` – номер TCP-порта, на который был сделан запрос на подключение по протоколу SOCKS (0–65536). `BoundHost` – IP-адрес или полное доменное имя (FQDN), с которым было установлено соединение. `BoundPort` – номер TCP-порта, с которым было установлено соединение (0–65536).

Файл /

имя объекта JSON

(формат single-json)

Описание

sample-and-execution-properties.json

SampleAndExecutionProperties

Информация о параметрах объекта и настройках выполнения.

Этот файл содержит только один объект JSON.

TaskID – идентификатор (GUID) созданной задачи выполнения файла.

Created – дата и время начала выполнения файла (например, 2018-01-17T15:30:16.077Z).

Processed – дата и время завершения выполнения файла (например, 2018-01-17T15:39:02.673Z).

AvBasesVersion – дата и время обновления антивирусных баз (например, 2018-01-17T18:36:00Z).

TaskState – статус задачи выполнения файла (например, completed).

Zone – цвет уровня опасности объекта.

Status – статус выполняемого объекта (например, Malware).

ErrorCode – код ошибки (например, ProcessingFailed).

ErrorMessage – сообщение об ошибке.

OriginalFileName – первоначальное имя загруженного файла.

FileName – имя выполняемого файла.

ArchiveSampleName – путь внутри архива к анализируемому объекту, если он был загружен в архив.

FileExtension – расширение выполняемого файла (например, js).

FileType – автоматически определяемый тип выполняемого файла.

FileSize – размер выполняемого файла в байтах (например, 539136).

Md5 – MD5-хеш выполняемого объекта.

Sha1 – SHA1-хеш выполняемого объекта.

Sha256 – SHA256-хеш выполняемого объекта.

SSDeep – SSDeep-хеш выполняемого объекта.

VirtualMachineID – среда выполнения образца (например, Win7_x64).

EmulationTimeSeconds – время выполнения объекта в секундах (например, 500).

Detects – информация об обнаруженных объектах:

detectTechnology – технология, которая использовалась для обнаружения объекта.
isNotAVirus – указывает, является ли обнаруженный объект вредоносным.
severity – уровень опасности обнаруженного объекта.
threat – название обнаруженного объекта.

screenshots – список созданных снимков экрана.

DecryptHTTPS – логический параметр. Указывает, был ли расшифрован HTTPS-трафик, сгенерированный выполняемым объектом.

PreScan – логический параметр. Указывает, был ли выполнен полный (статический и динамический) анализ объекта, включая выполнение в песочнице.

PreScanState – состояние этапа статического анализа:

CalcParam – логический параметр. Указывает, завершен ли расчет параметров.
AvsScan – логический параметр. Указывает, завершена ли проверка объекта.
statPars – логический параметр. Указывает, завершен ли статический анализ.

Channel – имя указанного сетевого канала, который должен использоваться объектом для доступа в интернет.

UsedChannel – имя сетевого канала, который фактически использовался объектом для доступа в интернет.

IsDataAvailable – указывает, имеются ли данные отчета для задачи.

UnpackPassword – пароль для архива.

Url – просмотренный веб-адрес.

DocPassword – пароль для защищенного документа.

CmdLine – параметры командной строки, которые использовались для выполнения объекта в песочнице.

SampleType – тип объекта (например, простой).

CalculatedParams – автоматически рассчитанные параметры выполнения:

ExecEnv – среда выполнения.
ExecTime – время выполнения.

ClickLinks – логический параметр. Указывает, должно ли приложение Kaspersky Research Sandbox анализировать ссылки в документах, которые были открыты в песочнице.

ThreatScore – оценка угрозы файлов и веб-адресов, основанная на метриках и данных, полученных во время выполнения задачи.

AppsCloseTimeout – время ожидания закрытия приложения.

Userscan – статус задачи проверки YARA и Suricata для объекта и его извлеченных файлов:

Yara:
- Status – статус сработавшего правила YARA (matched), см. описание ниже.
- Filename – имя загруженного файла, содержащего правила YARA.
- ScanningTime – дата и время срабатывания правила YARA, указанные в формате ISO 8601:2004 (ГГГГ-ММ-ДДTчч:мм:ссZ).
Suricata:
- Status – статус сработавшего правила Suricata, см. описание ниже.
- Filename – имя загруженного файла, содержащего правила Suricata.
- ScanningTime – дата и время срабатывания правила Suricata.

Возможные значения параметра Status для правил YARA и Suricata:

not scanned – правила не были отправлены.
created – задача проверки создана.
scanning – выполняется задача проверки.
matched – проверка успешно завершена, есть обнаружения.
truncated – проверка Suricata успешно завершена, есть обнаружения. Некоторые результаты были удалены: осталось не более 50 000 записей, не более 25 совпадений на правило. Этот статус возвращается только для правил Suricata, результаты проверки с использованием правил YARA не фильтруются.
not matched – проверка успешно завершена, обнаружений нет.
syntax error – правила не проверяются регулярным выражением.
processing error – произошла ошибка в процессе проверки с использованием проверенных правил. Могут быть обнаружения.

VncAccess – указывает, использовался ли для задачи доступ к VNC:

true – доступ к VNC использовался.
false – доступ к VNC не использовался.

VncSampleAutostart – указывает, был ли включен автоматический запуск образца в режиме VNC.

true – автоматический запуск образца был включен.
false – автоматический запуск образца был выключен.

VncStarted – дата и время запуска VNC для задачи.

VncTimeLeft – время до отключения доступа к VNC, в секундах.

VncStatus – указывает, активен ли в данный момент VNC для задачи.

true – VNC в данный момент активен.
false – VNC в данный момент неактивен.

DisableClicker – указывает, был ли отключен кликер в режиме VNC.

true – кликер был отключен.
false – кликер был включен.

detection-names.json

DetectionNames

Информация об объектах, обнаруженных при выполнении файла.

Zone – зона опасности, к которой относится объект (например, красная для вредоносного ПО, желтая для рекламных или других программ, оранжевая для недоверенных веб-адресов, зеленая для безопасных объектов, серая в случае, если категория не определена).

Threat – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker).

DetectTechnology – технология, которая использовалась для обнаружения объекта.

AvsScaner – объект обнаружен во время статического анализа.
SBScaner – объект обнаружен в журналах песочницы.

KPSN – объект обнаружен Kaspersky Private Security Network.

triggered-network-rules.json

TriggeredNetworkRules.

Информация о правилах Suricata, сработавших при анализе трафика от выполняемого объекта.

Zone – зона (уровень) опасности сетевого трафика, обнаруженного правилом Suricata (например, High).

RuleName – имя правила Suricata (например, Trojan.Agent.HTTP.C&C).

triggered-yara-rules.json

TriggeredYaraRules

Информация о правилах YARA, которые срабатывали при анализе трафика от выполняемого файла и от файлов, которые были переданы или изменены во время выполнения.

RuleName – название сработавшего правила YARA.

FileType – источник файла, обнаруженный правилом YARA (Sample, Transferred, Dropped).

Zone – зона опасности файла, обнаруженного правилом YARA.

Status – уровень опасности файла, обнаруженного правилом YARA.

MD5 – MD5-хеш файла, обнаруженного правилом YARA.

Tags – теги правила YARA, разделенные запятыми.

triggered-custom-suricata-rules.json

TriggeredSuricataRules

Информация о пользовательских правилах Suricata, которые срабатывали при анализе трафика от выполняемого файла и от файлов, которые были переданы или изменены во время выполнения.

Структура ответа содержит данные, полученные непосредственно от сканера Suricata. Более подробную информацию о структуре данных можно найти в документации Suricata.

timestamp – дата и время регистрации оповещения.

event_type – тип события, например alert.

flow_id – идентификатор потока.

src_ip – IP-адрес источника.

src_port – номер порта источника.

dest_ip – IP-адрес назначения.

dest_port – номер порта назначения.

proto – используемый протокол, например UDP.

app_proto – протокол уровня приложения, например TLS.

packet_info – информация о пакете:

linktype – тип ссылки, например 1.

alert – описание оповещения:

action – выполненное действие. Возможные значения: allowed и blocked.
gid – идентификатор группы.
signature_id – указанный пользователем числовой идентификатор правила. Каждое правило в наборе имеет уникальный идентификатор.
rev – версия правила, указанная пользователем. Пользовательские версии позволяют изменять номера версий одного и того же правила, сохраняя при этом один и тот же идентификатор signature_id.
signature – название обнаруженного объекта.
category – категория оповещения.
severity – уровень опасности оповещения.

packet – пакет.

screens (папка)

Набор снимков экрана (изображения в формате PNG), которые были сделаны во время выполнения файла.

suspicious-activities.json

SuspiciousActivities

Информация о зарегистрированных подозрительных действиях.

Name – код описания подозрительного действия (например, RegistryValueUpdate).

Description – полное описание действия.

Zone – зона (уровень) опасности зарегистрированного действия (например, High).

Severity – числовое значение уровня опасности зарегистрированного действия (например, 555).

Techniques – структура, содержащая коды тактик, техник и субтехник MITRE ATT&CK, с которыми может быть связано данное действие.

Props – атрибутивное описание зарегистрированного действия.

Файл также содержит другие поля, используемые системой в технических целях (связывание и категоризация действий).

suspicious-activities-android.json

SuspiciousActivitiesAndroid

Информация о зарегистрированных подозрительных действиях Android.

ComponentClass – класс компонента (например, action).

ComponentType – тип компонента (например, DEFAULT).

Zone – зона (уровень) опасности зарегистрированного действия (например, Medium).

Severity – числовое значение уровня опасности зарегистрированного действия (например, 400).

Name – название зарегистрированного действия (например, Copy file).

Description – описание зарегистрированного действия (например, Copy file).

Properties – атрибутивное описание зарегистрированного действия.

loaded-images.json

LoadedImages

Информация о загруженных образах, обнаруженных во время выполнения файла.

Process ID – целочисленный идентификатор процесса.

Thread ID – целочисленный идентификатор потока.

Path – полный путь к загруженному образу (например, \\Windows\\SysWOW64\\rpcrt4.dll).

Size – размер загруженного образа в байтах (например, 555).

Image Base – предпочтительный адрес первого байта образа при загрузке в память.

file-operations.json

FileOperations

Информация о файловых операциях, зарегистрированных во время выполнения файла.

Process ID – целочисленный идентификатор процесса.

Thread ID – целочисленный идентификатор потока.

Operation – название операции (например, FILE_CREATED).

Path – атрибут Name операции (например, $selfpath\\KL_APT_SANDBOX_TEST_MARKER_FILE).

Size – атрибут Size операции (например, 555).

registry-operations.json

RegistryOperations

Информация о выполненных операциях с реестром операционной системы, обнаруженных во время выполнения файла.

Process ID – целочисленный идентификатор процесса.

Operation – название операции (например, REG_CREATE_KEY).

Key – атрибут Key операции (например, \\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\DisableUserModeCallbackFilter).

Thread ID – целочисленный идентификатор потока.

Value Name – атрибут Value операции (например, 1).

process-operations.json

ProcessOperations

Информация о взаимодействиях файла с различными процессами, зарегистрированных во время выполнения файла.

Process ID – целочисленный идентификатор процесса.

Operation – название операции (например, PROCESS_STARTED).

Path – имя и путь процесса, взаимодействовавшего с выполняемым файлом (например, $windir\\explorer.exe).

Command Line – использовавшиеся параметры командной строки.

Requestor Process ID – целочисленный идентификатор процесса инициатора запроса.

sync-operations.json

SyncOperations

Информация об операциях созданных объектов синхронизации, зарегистрированных во время выполнения файла.

Process ID – целочисленный идентификатор процесса.

Operation – тип созданного объекта синхронизации (например, мьютекс).

Name – имя созданного объекта синхронизации (например, Skyz.Messaging.ThreadPooling.MyAppSingleInstance).

downloaded-files.json

TransferredFiles

Информация о файлах, извлеченных из сетевого трафика во время выполнения файла.

Zone – уровень опасности загруженного файла (например, Red).

Md5 – MD5-хеш загруженного файла.

Sha1 – SHA1-хеш загруженного файла.

Sha256 – SHA256-хеш загруженного файла.

Name – имя загруженного файла.

DetectionNames – название обнаруженного объекта (например, Trojan-Downloader.Script.Generic).

Traffic – трафик, из которого был извлечен загруженный файл (HTTP или HTTPS).

TriggeredYaraRules – список сработавших правил YARA.

Size – размер загруженного файла (в байтах).

Type – тип загруженного файла.

network.pcap

Информация о снимках сетевой активности.

matrix.json

Mitre

Информация об известных тактиках, технологиях и процедурах (TTP), а также сопоставление с классификацией MITRE ATT&CK для выполняемого объекта.

Для matrix_format=full:

Id – идентификатор тактики.

Name – название тактики.

Url – веб-адрес описания тактики на веб-сайте MITRE ATT&CK.

Technique – информация о технологиях, содержит следующее:

Id – идентификатор технологии.

Name – название технологии.

Url – веб-адрес описания технологии на веб-сайте MITRE ATT&CK.

SubTechniques – описание субтехнологий.

Для matrix_format=short:

ID – идентификатор тактики.

Name – название тактики.

URL – веб-адрес описания тактики на веб-сайте MITRE ATT&CK.

Techniques – информация о технологиях, содержит следующее:

ID – идентификатор технологии.

Name – название технологии.

URL – веб-адрес описания технологии на веб-сайте MITRE ATT&CK.

sample-content.json

SampleContent

Информация о содержимом упакованного файла. Для распаковки архива используйте пароль по умолчанию infected.

Zone – цвет зоны (уровня) опасности файла.

MD5 – MD5-хеш файла.

SHA1 – SHA1-хеш файла.

SHA256 – SHA256-хеш файла.

Path – имя файла и путь к нему от корневой папки загруженного объекта.

Packer – имя упаковщика, с помощью которого упакован загружаемый объект.

Type – автоматически определенный тип файла.

DetectionNames – названия обнаруженных объектов (например, HEUR:Exploit.Script.Blocker).

Size – размер файла в байтах.

sample-content.zip

Архив, содержащий файлы, входящие в состав упакованного объекта. Для распаковки архива используйте пароль по умолчанию infected.

Архив можно экспортировать только отдельно. При экспорте всех результатов задачи он не экспортируется.

manifest.zip

Информация о манифесте приложения Android.

dropped-files.json

DroppedFiles

Информация о файлах, сохраненных выполняемым файлом.

Zone – уровень опасности измененного файла (например, Red).

Md5 – MD5-хеш измененного файла.

Sha1 – SHA1-хеш сохраненного файла.

Sha256 – SHA256-хеш измененного файла.

Size – размер измененного файла (в байтах).

Type – тип измененного файла.

DetectionNames – название обнаруженного объекта (например, Trojan-Downloader.Script.Generic).

FileName – имя измененного файла (например, sample.exe).

TriggeredYaraRules – список сработавших правил YARA.

static-modules.json

Модули приложений Android, обнаруженные с помощью статического анализа.

Path – путь к модулю приложения.

Description – описание модуля приложения.

static-permissions.json

Разрешения приложений Android, обнаруженные с помощью статического анализа.

Status – статус (уровень опасности) разрешения.

Severity – серьезность опасности разрешения.

Permission – значение разрешения.

Description – подробное описание разрешения.

static-components.json

Компоненты приложений Android, обнаруженные с помощью статического анализа.

Status – статус (уровень опасности) компонента.

Severity – серьезность опасности компонента.

Component – имя компонента.

Description – подробное описание компонента

Intent filters – список фильтров, примененных к компоненту.

static-bundle.json

Пакет приложения Android (APK).

Type – тип файла (модуль, значок или изображение).

Path – путь к файлу и его имя.

Size – размер файла.

MD5 – MD5-хеш файла.

static-images.json

Образы пакета приложения Android.

network-traffic-tables.json

NetworkActivities;

Информация о сетевых активностях, зарегистрированных во время выполнения файла.

Данные сохраняются в корневом объекте JSON с атрибутами, описанными ниже в этой таблице, или в отдельных файлах CSV с соответствующими именами.

Раздел IpSessions

Массив, содержащий информацию о сеансах IP, зарегистрированных во время выполнения файла.

source_address – IP-адрес источника.

dest_address – IP-адрес назначения.

start_time – дата и время начала сеанса IP.

end_time – дата и время завершения сеанса IP.

data_length – объем данных, отправленных и полученных в рамках сеанса IP (в байтах).

packets_count – количество пакетов, отправленных и полученных в рамках сеанса IP.

Раздел TcpSessions

Массив, содержащий информацию о сеансах TCP, зарегистрированных во время выполнения файла.

source_port – номер исходного порта (0–65536).

dest_port – номер порта назначения (0–65536).

data_length – объем данных, отправленных и полученных в рамках сеанса TCP (в байтах).

packets_count – количество пакетов, отправленных и полученных в рамках сеанса TCP.

packets_syn – количество пакетов SYN, отправленных и полученных в рамках сеанса TCP.

packets_fin – количество пакетов FIN, отправленных и полученных в рамках сеанса TCP.

packets_outoforder – количество пакетов, отправленных и полученных в неправильном порядке в рамках сеанса TCP.

packets_acks_postloss – количество потерянных пакетов ACK из числа отправленных и полученных в рамках сеанса TCP.

packets_acks_duplicate – количество дублированных пакетов ACK, отправленных и полученных в рамках сеанса TCP.

window_in_diff – количество входящих сегментов (байтов), которые могут быть отправлены с сервера клиенту до получения подтверждения (пакета ACK).

window_out_diff – количество исходящих сегментов (байтов), которые могут быть отправлены от клиента к серверу до получения подтверждения (пакета ACK).

source_ip – IP-адрес источника.

destination_ip – IP-адрес назначения.

Раздел UdpSessions

Массив, содержащий информацию о сеансах UDP, зарегистрированных во время выполнения файла.

source_port – номер исходного порта (0–65536).

dest_port – номер порта назначения (0–65536).

data_length – объем данных, отправленных и полученных в рамках сеанса UDP (в байтах).

packets_count – количество пакетов, отправленных и полученных в рамках сеанса UDP.

source_ip – IP-адрес источника.

destination_ip – IP-адрес назначения.

Раздел DnsSessions

Массив, содержащий информацию о сеансах DNS, зарегистрированных во время выполнения файла.

id – идентификатор сообщения DNS.

qr – индикатор запроса/ответа (0 – запрос DNS, 1 – ответ DNS).

rcode – код ответа DNS.

data_length – объем данных, отправленных и полученных в рамках сеанса DNS (в байтах).

packets_count – количество пакетов, отправленных и полученных в рамках сеанса DNS.

dns_records – записи в сообщении. Для каждой записи отображается ее имя, раздел и тип. Если доступно, отображаются поля TTL и Данные.

Раздел FtpSessions

Массив, содержащий информацию о сеансах FTP, зарегистрированных во время выполнения файла.

CommandName – имя команды.

CommandArg – аргумент команды.

ReplyCode – код ответа.

ReplyMsg – ответное сообщение от сервера.

Md5 – файл, который был передан при выполнении команды.

DataChannelClientIp – адрес FTP-клиента.

DataChannelServerIp – адрес FTP-сервера.

DataChannelServerPort – номер порта FTP-сервера.

Раздел HttpSessions

Массив, содержащий информацию о запросах HTTP, зарегистрированных во время выполнения файла.

Status – зона (уровень) опасности URL в HTTP-запросе.

Scheme – схема URL (тип трафика).

Method – метод отправки HTTP-запроса. Можно использовать один из следующих методов HTTP: GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH.

URL – веб-адрес, к которому был зарегистрирован запрос.

ResponseCode – код ответа на HTTP-запрос.

ResponseLength – размер ответа на HTTP-запрос в байтах.

RequestHeaders – стандартные имена заголовков запросов на основе протокола передачи гипертекста RFC2616 Hypertext Transfer Protocol -- HTTP/1.1. Предоставляются в виде пар <имя>:<значение>.

ResponseHeaders – стандартные имена заголовков ответов на основе протокола передачи гипертекста RFC2616 Hypertext Transfer Protocol -- HTTP/1.1. Предоставляются в виде пар <имя>:<значение>.

RequestBody – тело запроса (Md5, Name, Size).

ResponseBody – тело ответа (Md5, Name, Size).

Раздел SslSessions

Массив, содержащий информацию о сеансах SSL, зарегистрированных во время выполнения файла.

Version – версия протокола TLS.

Cipher – криптографический алгоритм.

Curve – класс кривой.

ServerName – имя сервера.

Subject – имя субъекта.

Issuer – имя источника.

Раздел IrcSessions

Массив, содержащий информацию о сеансах IRC, зарегистрированных во время выполнения файла.

Command – имя команды.

User – имя пользователя.

Nick – псевдоним пользователя.

Channels – названия каналов для подключения во время сеанса IRC.

Sender – псевдоним отправителя команды.

Channel – имя канала для отправки сообщения во время сеанса IRC.

Text – текст, отправленный во время сеанса IRC.

Раздел Pop3Sessions

Массив, содержащий информацию о сеансах POP3, зарегистрированных во время выполнения файла.

Type – тип команды.

Command – результат команды.

Arguments – аргументы команды.

Message – описание результата команды.

Раздел SmbSessions

Массив, содержащий информацию о сеансах SMB, зарегистрированных во время выполнения файла.

DestinationIP – IP-адрес назначения сеанса.

DestinationPort – номер порта назначения (0–65536).

Version – версия протокола.

CommandName – имя команды.

CommandStatus – статус выполнения команды.

Md5 – файл, переданный во время выполнения команды.

Раздел SmtpSessions

Массив, содержащий информацию о сеансах SMTP, зарегистрированных во время выполнения файла.

From – имя и адрес отправителя.

To – имена и адреса получателей.

Subject – тема сообщения.

Files – список MD5-хешей прикрепленных файлов.

Раздел HttpProxySessions

Массив, содержащий информацию о сеансах прокси-сервера HTTP, зарегистрированных во время выполнения файла.

Раздел SocksSessions

Массив, содержащий информацию о сеансах SOCKS, зарегистрированных во время выполнения файла.

Version – версия протокола SOCKS.

RequestHost – IP-адрес или полное имя домена (FQDN), на который был сделан запрос на подключение по протоколу SOCKS.

RequestPort – номер TCP-порта, на который был сделан запрос на подключение по протоколу SOCKS (0–65536).

BoundHost – IP-адрес или полное доменное имя (FQDN), с которым было установлено соединение.

BoundPort – номер TCP-порта, с которым было установлено соединение (0–65536).

В начало