Запуск выполнения файла

Перед выполнением файла в Kaspersky Research Sandbox необходимо загрузить его и выбрать параметры выполнения.

Чтобы выполнить файл в Kaspersky Research Sandbox, выполните следующие действия.

  1. На странице Sandbox решения Kaspersky Research Sandbox на вкладке Upload and execute file выберите объект, который требуется выполнить, одним из следующих способов:
    • Нажмите кнопку Select file и в открывшемся окне выберите требуемый объект.
    • Перетащите требуемый объект в зону анализа. Зона анализа отображается при начале перетаскивания объекта.

    Когда объект выбран, отображаются его имя и размер (в мегабайтах).

    Максимальный размер загружаемого объекта составляет 1024 МБ.

    В случае загрузки упакованного объекта убедитесь, что он содержит менее 1000 файлов. Kaspersky Research Sandbox проверяет все файлы в объекте, но для загрузки доступны только 1000 файлов. Рекомендуется выполнять объекты, содержащие менее 1000 файлов.

    При необходимости нажмите кнопку Удалить файл – корзина. для удаления выбранного файла.

  2. Выберите тип анализа:
    • Full analysis – для выполнения как статического, так и динамического анализа. Этот параметр выбран по умолчанию.
    • Static analysis – для выполнения только статического анализа. При выборе этого параметра будут доступны только параметр Unpack password и возможность добавления файла правил YARA (см. ниже в этой процедуре).
  3. Если вы хотите выполнить архив, убедитесь, что его формат поддерживается.

    Kaspersky Research Sandbox поддерживает многоуровневую распаковку архивов. Для выполнения динамического анализа в автоматическом режиме (без использования VNC) архив должен содержать только один файл, который необходимо выполнить в виртуальной среде. При необходимости можно разместить образец во вложенных архивах (до 10 уровней).

    Для распаковки архива, защищенного паролем, введите пароль для архива в поле Unpack password. Если не ввести пароль для архива, защищенного паролем, Kaspersky Research Sandbox попытается распаковать архив, используя пароли по умолчанию.

    Чтобы просмотреть или скрыть пароль, используйте значок с глазом.

  4. В раскрывающемся списке Execution environment выберите операционную систему, которую требуется использовать в качестве среды выполнения.

    По умолчанию выбирается рекомендуемая среда выполнения (Auto). Kaspersky Research Sandbox автоматически определяет оптимальную операционную систему в зависимости от типа загружаемого файла.

    Если вы успешно развернули пользовательские среды выполнения, они также отображаются в списке доступных сред в разделе Custom environments.

    Вы можете использовать Microsoft Windows 10 x64 с отключенным AMSI, если установлен образ Windows 10.

    Чтобы установить образ Microsoft Windows 10, обратитесь к администратору.

  5. В поле Execution time (sec) укажите время выполнения объекта (в секундах) с помощью ползунка или введите необходимое число.

    По умолчанию выбрано значение Auto – Kaspersky Research Sandbox автоматически определяет оптимальное время выполнения в зависимости от типа загружаемого файла.

    Можно указать время выполнения от 30 до 1800 секунд (30 минут). При необходимости нажмите кнопку Reset to auto, чтобы указать значение по умолчанию Auto.

    Загруженный объект будет выполняться только в выбранной среде в течение указанного времени выполнения. Указанное время не включает время, необходимое для анализа объекта и отображения результатов.

  6. При необходимости нажмите Advanced options и укажите следующие параметры:
    • В поле Change file name and extension to вы можете указать другое имя и расширение для загружаемого файла. В этом случае Kaspersky Research Sandbox попытается выполнить файл в соответствии с указанным расширением. Кроме того, Kaspersky Research Sandbox определяет тип файла после загрузки в песочницу и обрабатывает файл соответствующим образом. На странице отчета отображается расширение, определенное Kaspersky Research Sandbox.

      Для указания расширения файла можно использовать большинство символов, за исключением зарезервированных (<, >, :, ", /, \, |, ?, *).

      Вы можете ввести до 254 символов, чтобы указать имя и расширение файла.

      Если расширение файла не указано, Kaspersky Research Sandbox попытается определить его автоматически, и файл будет выполнен с расширением, определенным Kaspersky Research Sandbox.

      Более подробную информацию о типах файлов см. в разделе Автоматически определяемые типы файлов.

    • Вы можете использовать Kaspersky Research Sandbox для открытия защищенных паролем документов во время выполнения в песочнице. Для этого введите пароль в поле Document password. По умолчанию это поле пустое.

      Поле Document password доступно только для сред выполнения на базе Windows.

      Чтобы просмотреть или скрыть пароль, используйте значок с глазом.

    • Чтобы указать имя сетевого канала, который объект будет использовать для доступа в интернет, выберите один из следующих вариантов в раскрывающемся списке Internet channel:
      • Auto – выберите этот параметр, чтобы автоматически определять сетевой канал.
      • Tarpit – выберите этот параметр, чтобы эмулировать доступность сети во время выполнения файла без реального доступа в интернет. При выборе этого параметра эмулируется подключение виртуальной машины к любому хосту. Канал Tarpit обеспечивает упрощенную эмуляцию следующих протоколов: raw TCP/UDP, HTTP(S), ICMP, DNS.
      • Другие параметры в списке задаются во время установки Kaspersky Research Sandbox. Более подробную информацию о доступных параметрах можно получить у администратора.

      Этот параметр нельзя изменить, если сетевой канал был указан во время развертывания шаблона.

    • При необходимости нажмите кнопку Browse рядом с полем ввода Add YARA file, чтобы выбрать файл, содержащий правила YARA.

      Kaspersky Research Sandbox поддерживает только те модули правил YARA, которые используются в статическом анализе файла и его содержимого. Поведенческие характеристики не поддерживаются. В частности, модули cuckoo и console не поддерживаются.

    • При необходимости нажмите кнопку Browse рядом с полем ввода Add Suricata rules file, чтобы выбрать файл, содержащий правила Suricata, используемые для сканирования файла PCAP.

      Рекомендуемый размер файла: 5 МБ. Если размер файла правил Suricata превышает 16 МБ, рекомендуется разбить его на несколько файлов (размером до 5 МБ) и последовательно загрузить их в задачу.

    • Kaspersky Research Sandbox может запускать выполнение объектов с определенными параметрами. Для этого введите требуемые параметры в поле Command line parameters.

      Вы можете использовать переменные среды Windows, поместив знак % перед именем переменной и после него (например: %SYSTEMROOT%). По умолчанию переменные среды выполнения развертываются на хосте пользователя перед передачей и выполнением объекта в песочнице. Чтобы перенести переменные среды выполнения в песочницу как есть, без развертывания, используйте знак % (например: %SYSTEMROOT%).

      Командная строка может содержать переменную $sample, которая будет заменена в песочнице на фактический путь к объекту в операционной системе (например, <notepad path> /A $sample).

      Длина командной строки не должна превышать 1024 символа, в противном случае она будет сокращена Kaspersky Research Sandbox. В зависимости от технических ограничений среды выполнения операционной системы в песочнице длина командной строки может быть дополнительно сокращена.

      Это поле является необязательным и доступно только при выборе среды выполнения Microsoft Windows или Linux. Примеры использования командной строки описаны в Приложениях.

    • Чтобы выполнить расшифровку HTTPS-трафика, генерируемого объектом во время выполнения, установите флажок Decrypt HTTPS.

      Если выбрана пользовательская среда выполнения, в которой установлена операционная система Microsoft Windows XP SP3 x86, вы можете установить флажок Decrypt HTTPS в веб-интерфейсе. Однако HTTPS-трафик не будет расшифрован во время выполнения файла.

      Расшифровка HTTPS-трафика может снизить вероятность обнаружения вредоносного ПО.

      По умолчанию этот флажок установлен.

    • Вы можете использовать Kaspersky Research Sandbox для просмотра ссылок в документах, которые открываются в песочнице. Для этого установите флажок Click document links.

      Флажок Click document links доступен только в том случае, если выбрана среда выполнения на базе Microsoft Windows. Если вы выбрали пользовательскую среду выполнения на базе Android или Linux, то значение параметра Click document links будет игнорироваться во время выполнения файла.

      Выбор этого параметра может повысить уровень обнаружения вредоносных объектов и их поведения.

      По умолчанию этот флажок снят.

    • При необходимости установите флажок VNC access. Режим VNC позволяет взаимодействовать со средой выполнения и образцами во время процесса запуска в песочнице.

      Если установить флажок VNC access, станут доступны следующие параметры:

      • Launch automatically – автоматический запуск образца. По умолчанию этот флажок установлен.
      • Disable clicker – отключает утилиту, эмулирующую пользователя. По умолчанию этот флажок установлен.
    • Можно сформировать отчет об отладке для выполненного файла, который может быть использован специалистами "Лаборатории Касперского" для расследования инцидента. Для этого установите флажок Create debug report. Диагностическая информация о производительности приложения получается отдельно.

      Включение этого параметра требует дополнительного свободного места на диске для хранения результатов выполнения объектов.

      По умолчанию этот флажок снят.

  7. При необходимости нажмите кнопку Reset, чтобы восстановить значения параметров по умолчанию.

    Обратите внимание, что добавленные файлы YARA и правила Suricata не будут удалены. Используйте кнопку Корзина. для удаления требуемого файла правил.

  8. Нажмите кнопку Start file execution, чтобы запустить процесс выполнения файла.

    Kaspersky Research Sandbox отобразит результаты выполнения объекта.

    Если при загрузке объекта произошла ошибка, вы можете попробовать загрузить объект еще раз или выбрать другой объект.

    Если по какой-то причине вы прервали процесс загрузки, вы можете попробовать загрузить тот же объект еще раз позже или выбрать другой объект.

    Запись, описывающая результаты выполнения, отображается в таблице History. Можно начинать анализировать результаты, когда процесс завершится и в поле Status отобразится Completed.

  9. При необходимости нажмите кнопку повторного сканирования Значок "Повторить сканирование". для выполнения ранее загруженного и выполненного объекта и повторите шаги 2–5 этой процедуры.

    Если позднее снова выполнить файл, результаты могут отличаться от указанных в таблице History для того же файла. Это связано с тем, что экспертные системы "Лаборатории Касперского" обновляют информацию об объектах в режиме реального времени. Результаты выполнения зависят от ландшафта угроз.

Начать выполнение файла.

Запуск выполнения файла

В начало