Облачный анализатор: как работает песочница Dr.Web vxCube

Логотип компании
Облачный анализатор: как работает песочница Dr.Web vxCube
Для конечного пользователя схема работы Dr.Web vxCube выглядит предельно просто: подозрительный файл загружается в облако, оперативно проходит проверки и песочница выдает вердикт. Однако за видимой простотой кроется глубокий анализ.

Все мы в детстве играли во дворе в песочнице, лепили из мокрого песка сказочные города на пляже. Но человек взрослеет, и на смену песочным замкам приходят реальные проекты, созданные по таким же принципам. Сегодня мы поговорим об одном из них – облачном интерактивном анализаторе Dr.Web vxCube, который использует виртуальную песочницу.

Что такое песочница?

В понимании специалистов по компьютерной безопасности это выделенная среда, проверяющая исполняемые файлы. Своего рода отдельная комната для тестирования, где из песка можно построить что угодно и посмотреть, как оно работает. Так, в песочнице обычно запускают подозрительную программу, чтобы оценить, насколько она опасна для реального устройства.

Такой подход позволяет обеспечить превентивную защиту. Например, в песочницу можно отправлять все вложения из корпоративного почтового сервера одним потоком. Работает это так: сотрудник получил письмо с вложением, файлы отправляются на анализ и, если там скрыто вредоносное ПО, вложение вырезается и пользователь получает письмо с пометкой о недошедшем файле.

Песочница позволяет анализировать все файлы, приходящие извне. Еще одна полезная возможность: с помощью песочницы можно быстро разобрать уже произошедшей инцидент и в то же время глубоко изучить поведение конкретного файла.

Эффективная защита

Однако на практике не всё так гладко. У песочниц есть важный критерий эффективности: чем тщательнее маскировка под реальную систему, тем лучше. Бывает вредоносное ПО, способное распознать, что его пытаются запустить в виртуальной среде, – в таком случае троян прекратит работу, а песочница покажет, что файл чист.

Помимо этого, эффективность зависит от возможностей перехвата и регистрации системных событий, вызываемых исполнением вредоносной программы. Проще говоря, для пользователя важно, насколько полно песочница позволяет описать поведение потенциального трояна. И песочнице нужно эффективнее выдавать себя за реальную систему, качественнее регистрировать системные события и улучшать процедуру принятия решений о вредоносности исполняемого файла.

Кроме того, следует помнить, что в некоторых случаях виртуальные среды могут использоваться как рабочие и это может быть предусмотрено во вредоносной программе. Поэтому эффективная песочница должна соответствовать следующим критериям:

  • тщательная маскировка под реальную систему;

  • предоставление полноценного отчета о работе вредоносной программы;

  • быстродействие.

Никому не нужны песочницы, пропускающие опасные файлы. И никому не хочется работать с медленной программой, которую сначала надо установить, а потом ждать результатов, смирившись с тем, что устройство будет невыносимо «тормозить».

Как создавался Dr.Web vxCube

Разработчики Dr.Web vxCube учитывали каждый из названных нами критериев. Изначально была поставлена цель – сделать такую песочницу, которую вирусам очень трудно будет определить. Для решения данной задачи были учтены все методы противодействия существующим песочницам.

Сами песочницы известны достаточно давно и используются для автоматического анализа вирусов. А Dr.Web vxCube, созданный в 2017 году, — относительно новая и уникальная разработка. Дело в том, что это облачный антивирус, который не использует агента, а наблюдает за операционной системой на уровне гипервизора. Такой подход позволяет обеспечить высокий уровень безопасности любой системы, блокируя просачивание файлов.

Что не менее важно – Dr.Web vxCube не требует установки: достаточно авторизоваться на сайте и проверить любой файл, после чего антивирус выдаст пользователю полный отчет о потенциальной угрозе. Помимо этого, можно получить специальную сборку утилиты Dr.Web CureIt!, которая позволяет вылечить уже зараженные машины.

Как работает облачный анализатор

Для конечного пользователя схема работы Dr.Web vxCube выглядит предельно просто: подозрительный файл загружается в облако, оперативно проходит проверки и песочница выдает вердикт. Однако за видимой простотой кроется глубокий анализ.

При подозрении, что файл может оказаться угрозой, пользователю нужно авторизоваться и загрузить его на официальную страницу Dr.Web vxCube:

Облачный анализатор: как работает песочница Dr.Web vxCube. Рис. 1

После завершения анализа отображается окно с оценкой опасности интересующего файла. Здесь же прикреплен видеоотчет о проделанной работе — в том числе пользователь может понаблюдать за тем, как запускается вредоносный файл.

Облачный анализатор: как работает песочница Dr.Web vxCube. Рис. 2

За счет облачных технологий проверка автоматизирована и скрыта от посторонних глаз, поэтому можно быть уверенным за безопасность устройства, с которого она проводится. Для проведения анализа исследователь через браузер запускает файлы в выбранной операционной системе на виртуальных машинах «Доктор Веб». Среда Dr.Web vxCube изолирована от системы анализа, поэтому никакие действия с файлом на стороне пользователя не производятся, а значит, устройству ничто не угрожает.

Читайте также
Как происходит цифровизация строительства и внедрение BIM-технологий в отрасли? Как компании справляются с трудностями перехода на новые инструменты, требующие изменений процессов и компетенций? Как автоматизация позволяет ускорить работу, уменьшить ошибки и повысить эффективность управления строительными проектами? Разбирался  IT-World.

Отметим, что Dr.Web vxCube анализирует следующие типы файлов:

  • исполняемые файлы Windows, Android;

  • документы и служебные файлы Microsoft Office/OpenOffice;

  • файлы Acrobat Reader;

  • исполняемые файлы JAVA;

  • скрипт-файлы.

Dr.Web vxCube поможет проверить вновь разворачиваемые в корпоративной сети программы — бывают случаи, при которых обновление софта оборачивается новыми незадекларированными возможностями для вредоносного ПО.

Любой загруженный на устройство файл по умолчанию можно считать подозрительным. «Классический» антивирус проведет проверку и в случае обнаружения вредоносного ПО заблокирует его, но никогда не расскажет, в чем же заключалась опасность. Именно для таких целей идеально подходит Dr.Web vxCube — умная технология не только защитит от угроз, но и запустит в песочнице сценарий, которого удалось избежать на устройстве. Файлы проверяются на виртуальной машине, которая тщательно маскируется под реальную систему, поэтому пользователь может быть уверен в безопасности того или иного файла.

Опубликовано 22.06.2022

Похожие статьи