Опыт развертывания FortiSandbox, системы динамического + статического анализа файлов от компании Fortinet.
Часть 1.1
После установки и базовой настройки, я создал vswitch (vlan999) в промискус-моде, и подключил туда 3 устройства:
а так же, более детально о каждом файле:
Загрузил файл (есть возможность загрузить оригинальный семпл, для дальнейшего ручного анализа) :
Дропается архив под паролем, с нашим файлом:
Я сделал анпак, и сделал выгрузку на Vitustotal:
Часть 1.1
После установки и базовой настройки, я создал vswitch (vlan999) в промискус-моде, и подключил туда 3 устройства:
- FortiSandbox, портом "port6"
- Windows 7
- Ubuntu Server 15 с апачем на борту.
Настройка порта на санбоксе:
После этих простых настроек, все должно снифаться.
На Ubuntu я развернут вебсервер на апаче в самой базовой конфигурации (имитировав тем самым удаленный сервер в интернете). В рабочий каталог вебсервака /malware я положил вредоносные файлы.
В влане 999 у меня гуляют ip формата 11.1.1.0.24, вебсервер - 11.1.1.124, клиент на Windows 7 - 11.1.1.124.
Проверим работоспособность сервака:
И начнем грузить файлы:
Перейдем в FortiSandbox, и посмотрим какие файлы были перехвачены и проверены:
Как видно, есть детекты какой то активности.
Смотрим подробнее:
а так же, более детально о каждом файле:
Как видно, в большинстве случаев, отрабатывает анвирь, так как малварь древняя.
Принудительно проверим работу аналича через песочницу, для этого повторим анализ:
Видим отработку песочницы:
Один момент, который мне был не понятен, это детект одной из dll лок.
Я обратил внимание:
есть 3 читых файла.
Смотрим подробнее:
Файл был проверен через VM Engine,что значит что он был прогнан через песочницу.
Загрузил файл (есть возможность загрузить оригинальный семпл, для дальнейшего ручного анализа) :
Дропается архив под паролем, с нашим файлом:
Я сделал анпак, и сделал выгрузку на Vitustotal:
o_0
...
Далее планируется интеграция с FortiMail, для связки системы анализа почты + анализ методом виртуальных машин(безсигнатурный) вложений в почте, и фишинг ссылок.
