Что нового

Kaspersky Research Sandbox 3.0 предлагает следующие новые функции и улучшения.

Kaspersky Research Sandbox 3.0

• Стала доступна интерактивная визуализация во время запуска образца в песочнице (VNC). Режим VNC позволяет взаимодействовать со средой выполнения образца во время процесса запуска в песочнице.
• В дополнение к Kaspersky Private Security Network (KPSN) теперь доступна работа с Kaspersky Security Network (KSN). Использование KSN обеспечивает более экономичное и быстрое развертывание (например, во время пилотного использования), позволяя снизить требования к оборудованию. Требуемый сервис репутации – KSN или KPSN – можно выбрать на странице Settings.
• Повышена производительность и надежность работы с KPSN для развертываний с высокими нагрузками.
• Добавлена поддержка вывода данных Microsoft AMSI для обнаружения упакованных и замаскированных сценариев и атак с использованием Microsoft PowerShell.
• Поиск результатов выполнения задач теперь доступен в таблице History на странице Sandbox. Можно использовать ключевые слова, сортировку и фильтры для поиска необходимых результатов по образцам и веб-адресам.
• Расширен статический анализ: теперь в нем отображаются строки, заголовки, разделы и таблицы экспорта и импорта, а также график энтропии исполняемых файлов.
• Улучшена визуализация на странице System activities: отображаются отдельные действия для каждого процесса.
• Добавлена поддержка распаковки многоуровневых архивов и архивов tar.gz.
• Добавлена поддержка выполнения больших файлов (до 1 ГБ).
• Матрица MITRE ATT&CK обновлена до версии 15.
• Стандартные образы Microsoft Windows не входят в состав дистрибутива, но вы можете добавить и активировать эти образы, используя собственные ключи многократной активации Microsoft Windows и Microsoft Office.
• Существенно переработан пользовательский интерфейс (UI) (новая цветовая схема, компоновка) для обеспечения максимального удобства при работе с продуктом.
• Исправлены мелкие ошибки.
• Теперь доступна автоматически генерируемая ссылка на API.
• Улучшена документация.

Kaspersky Research Sandbox 2.3

• Добавлена возможность сканирования сетевого трафика во время запуска объекта в песочнице с использованием пользовательских правил Suricata. Вы можете добавлять правила через веб-интерфейс или API вместе с объектом. Загруженные правила применяются в сочетании со стандартными правилами Suricata, предоставляемыми "Лабораторией Касперского". Все обнаружения отображаются в разделе Triggered IDS rules.
• Карта выполнения оптимизирована для лучшей визуализации запуска объекта в песочнице. Теперь карта содержит различные типы узлов, которые можно развернуть, чтобы увидеть больше сведений о связанных с ними действиях.
• В карту выполнения добавлены параметры командной строки для запущенных процессов, что позволяет выполнять более качественный поведенческий анализ. Узлы действий теперь отображают определенное событие с ключевыми полями, а для каждого подозрительного действия также отображаются ключевые данные и TTP. Нажав на узел, можно отобразить полную информацию о событии. Эти данные теперь позволяют четко отслеживать конкретный образец, например выполненные им действия, использованные команды и измененные разделы реестра.
• Метод API health также был улучшен и теперь возвращает информацию о состоянии конкретных компонентов приложения и его функций. Это такие сведения, как истечение срока действия антивирусных компонентов, недоступность Kaspersky Private Security Network и т. д.

Kaspersky Research Sandbox 2.2.3

• Kaspersky Research Sandbox 2.2.3 теперь поддерживает экспорт данных из предыдущих версий приложения.

  Раньше при установке новой версии Kaspersky Research Sandbox вы получали абсолютно чистую систему. Перед использованием Kaspersky Research Sandbox приходилось перенастраивать обновления антивирусных баз, работать с Kaspersky Private Security Network и заново создавать учетные записи для всех пользователей, что могло занимать много времени. Более того, предыдущие результаты анализа объектов и веб-адресов также были недоступны.

  При обновлении до Kaspersky Research Sandbox 2.2.3 вы можете перенести из предыдущей версии значительную часть настроек и данных, включая настройки Kaspersky Research Sandbox, учетные записи пользователей и результаты анализа.

• Добавлена поддержка Kaspersky Private Security Network 3.3, а также предыдущих версий (Kaspersky Private Security Network 3.2 и Kaspersky Private Security Network 3.1).

Kaspersky Research Sandbox 2.2

• Теперь можно выполнять объекты в среде Linux. Для таких задач можно указать командную строку для запуска объекта с параметрами, выполнить объект с рекомендуемыми параметрами в песочнице Linux и сформировать отчет о выполнении объекта. В текущей версии песочницы Linux поддерживаются только консольные приложения. В настоящее время графические приложения не поддерживаются.
• Добавлен параметр Threat score на основе показателей и данных, полученных во время выполнения файла. Индикатор принимает значения от 0 до 100, показывая уровень опасности анализируемого объекта. Более подробную информацию о значениях параметра Threat score см. в разделе Описание оценки угрозы.
• В новой версии Kaspersky Research Sandbox также существенно расширен список доступных методов API. Теперь можно получать отчеты в формате PDF, сведения о конфигурации и состоянии системы, список доступных интернет-каналов, а также карту выполнения файлов. Также можно загружать файлы, полученные в ходе анализа объектов, через Kaspersky Research Sandbox API.
• Используя новый режим анализа файлов, теперь вы можете отправить файл только для статического анализа (без выполнения в песочнице). В результате выполнения задачи вы получите информацию, собранную в процессе статического анализа, а также рекомендуемые параметры для выполнения файла в песочнице.
• Улучшен парсинг сеансов протоколов SMB, SMTP и SOCKS на вкладке Network activities. Также теперь отображаются сеансы протоколов SMB и SMTP.
• Добавлена поддержка Kaspersky Private Security Network 3.2, а также предыдущей версии (Kaspersky Private Security Network 3.1).
• Исправлены мелкие ошибки.
• Улучшена документация.

Kaspersky Research Sandbox 2.1

• Теперь можно указать командную строку для запуска объекта с параметрами и (или) указать, что доступен запуск приложения. Kaspersky Research Sandbox позволяет передавать параметры запуска, которые будут использоваться для запуска объекта. Также можно передавать командную строку для выполнения и использовать переменные среды выполнения.
• Добавлена возможность скачивания извлеченных файлов. Можно скачивать измененные и переданные файлы для дальнейшего анализа.
• Результаты выполнения в песочнице можно просматривать в новом формате. Больше не нужно выполнять поиск известных тактик и методов на веб-сайте MITRE ATT&CK. Все выявленные действия процесса, зафиксированные во время эмуляции, представляются в виде матрицы MITRE ATT&CK.
• Теперь можно направлять трафик через пользовательский VPN-канал. При установке Kaspersky Research Sandbox можно добавлять пользовательские конфигурации OpenVPN. Вы можете указывать их в качестве канала при создании новой задачи.
• В новой версии Kaspersky Research Sandbox расширен список поддерживаемых форматов архивов. Полный список поддерживаемых форматов можно найти здесь.
• Теперь для защищенных паролем документов Microsoft Office и PDF можно указывать пароль для их распаковки. Загруженный файл будет открыт, выполнен и полностью обработан, как и любой другой файл, не защищенный паролем.
• Возможность нажимать ссылки в документах Microsoft Office (Word, Excel, PowerPoint, Publisher, Outlook) и Adobe Reader. Если в тексте файла, отправленного на анализ, найдена ссылка, она откроется в браузере. При анализе электронного письма Outlook с вложением Kaspersky Research Sandbox пытается открыть и запустить вложение.
• Стал доступен анализ веб-адресов. Указанный веб-адрес открывается в браузере, затем загруженный браузером файл запускается и анализируется.
• Исправлены мелкие ошибки.
• Улучшена документация.

Kaspersky Research Sandbox 2.0

• Добавлена поддержка песочницы Android. Вы можете анализировать пакеты приложений Android (APK) в полностью автоматизированной и контролируемой среде выполнения Android, а также отслеживать поведение APK-файлов на предмет подозрительных действий. Сведения обо всех действиях собираются в комплексные и подробные аналитические отчеты.
• Добавлена поддержка Kaspersky Private Security Network (KPSN). KPSN предоставляет доступ к пользовательским базам данных репутации Kaspersky Security Network и другим статистическим данным без отправки данных из изолированной клиентской среды выполнения в Kaspersky Security Network. Сервис позволяет получать информацию о загруженных файлах или веб-адресах, с которыми взаимодействовало вредоносное ПО, из базы данных Kaspersky Threat Intelligence, установленной в локальном центре обработки данных клиента, что в конечном итоге повышает общий уровень обнаружения.
• Возможность выбора разных интернет-каналов для эмулируемых файлов. Это позволяет повысить уровень обнаружения вредоносных программ, специфичных для конкретного региона, и раскрывать их вредоносную деятельность при выполнении на устройстве, расположенном в стране, не являющейся одной из целевых.
• Теперь доступен REST API для автоматизированных рабочих процессов и интеграции с внутренними корпоративными системами или сторонними инструментами безопасности. Такая автоматизация повторяющихся задач сокращает время, необходимое для расследования инцидента.
• Добавлена поддержка карты выполнения. Она позволяет графически представлять последовательность действий объекта и взаимосвязи между ними. Корневой узел дерева представляет исполняемый объект. Каждый элемент дерева отмечен в соответствии с его уровнем опасности (Высокий, Средний или Низкий). Можно щелкнуть мышью элемент дерева и просмотреть подробную информацию о нем. Также можно масштабировать схему работы, прокручивая ее область.
• Доступны пользовательские параметры выполнения. Теперь пользователь может выбрать среду выполнения, время выполнения, определенный тип файла для выполнения и интернет-канал. Пользователь может также указать пароль для защищенных паролем архивов или необходимость расшифровки HTTPS-трафика.
• Поддерживается экспорт результатов анализа в различные форматы (STIX, JSON, CSV). Экспортированные отчеты включают все основные обнаружения и индикаторы компрометации (IOC), такие как измененные файлы, домены и IP-адреса. Можно делиться экспортированными IOC или использовать их для интеграции со сторонними решениями.
• Стал доступен расширенный список событий и действий, создаваемых эмулируемым файлом (без ограничения по количеству записей). Также поддерживается поиск по этим событиям и действиям и их фильтрация.
• Добавлена поддержка пользовательских правил YARA. Вы можете использовать собственные правила YARA для отслеживания угроз, а также для обнаружения сложных и специализированных угроз. Исходный образец, а также связанные с ним данные (измененные и загруженные файлы) будут проверены с использованием загруженных правил YARA. Kaspersky Research Sandbox поддерживает только те модули правил YARA, которые используются в статическом анализе файла и его содержимого. Поведенческие характеристики не поддерживаются. В частности, модули cuckoo и console не поддерживаются.
• Теперь поддерживается сетевая активность по всем протоколам, включая IP, TCP, UDP, DNS, HTTP(S), SSL, SOCKS, IRC, POP3 и FTP.
• Добавлена поддержка отчетов (экспорт результатов анализа) в формате PDF.
• Исправлены мелкие ошибки.
• Улучшена документация.

Kaspersky Research Sandbox 1.2

• Возможность подключения виртуальных машин Kaspersky Research Sandbox к внутренней сетевой инфраструктуре (виртуальная машина должна быть присоединена к контроллеру домена). Эта функция позволяет запускать в песочнице вредоносное ПО, созданное специально для сетевой инфраструктуры клиента, и получать представление о конкретных намерениях такого ПО.
• Шаблоны пользовательских образов можно развертывать без подключения к интернету. Теперь клиенты могут развертывать пользовательские образы Kaspersky Research Sandbox в изолированных средах выполнения.

Kaspersky Research Sandbox 1.1

• Добавлена функция управления пользовательской средой выполнения.
• Новый и улучшенный веб-интерфейс.
• Отчеты об отладке для выполненных файлов.
• Исправлены мелкие ошибки.
• Улучшена документация.

Kaspersky Research Sandbox 1.0

• Гибкая настройка параметров выполнения файла, включая следующие:
  • Операционная система;
  • Время исполнения;
  • Тип выполнения;
  • Пароль для распаковки архивов, защищенных паролем;
  • Расшифровка HTTPS;
  • Сетевой канал.
• Многопользовательское использование и управление учетными записями.
• Аудит доступа и использования с помощью RESTful API.
• Схемы визуализации данных.
• Комплексные результаты выполнения, включая:
  • Загруженные и запущенные DLL;
  • Объекты синхронизации: взаимные исключения (мьютексы), семафоры и события;
  • Измененные и созданные разделы реестра;
  • Внешние соединения с именами доменов и IP-адресами;
  • HTTP- и DNS-запросы;
  • Процессы, созданные выполняемым файлом;
  • Созданные, измененные и удаленные файлы;
  • Подробная информация об угрозах с применимым контекстом для каждого выявленного индикатора компрометации (IOC);
  • Снимки сетевой активности (файлы дампа и захват пакетов (PCAP));
  • Интуитивно понятные отчеты (операции с объектами, подозрительные действия и т. д.);
  • Человекочитаемый журнал песочницы (для продвинутых пользователей);
  • Статистическая информация;
  • Снимки экрана.
• Экспорт результатов исполнения файла в форматы JSON / STIX / CSV.
• Поддерживаемые операционные системы: Microsoft Windows XP x86, Windows 7 x86, Windows 7 x64, Windows 10 x64.

В начало