در این پست به کارکرد عملی استفاده از سندباکسها خواهیم پرداخت و با یک مثال این فرایند را نشان خواهیم داد و اینکه چگونه بدون هزینه میتوان با آموزش کاربران یک سازمان یا یک شرکت خصوصی، آنها را در برابر خطراتی مانند باج افزارها و بدافزارها مقاوم ساخت و در آخر مقاله فیلم انجام دادن این فرایند با استفاده از یک فایل آلوده آمده است.
پست گذشته مقدمه ای از ویژگی های مهم سندباکس ها در شناسایی تهدیدات امنیتی را بیان کرده همچنین از چند سند باکس رایگان و تجاری نام بردیم.
امروزه بیشتر باج افزارها و بدافزارها از طریق سو استفاده از قابلیت اجرای ماکرو درون فایلهای خانواده مایکروسافت آفیس به ویژه فایل های MS WORD اقدام به آلوده سازی سیستم هدف میکنند. در ویدیو تهیه شده به بررسی سندباکس Sandboxie می پردازیم و اینکه چگونه می توان از آن برای بررسی یک فایل MS WORD مشکوک استفاده کرد.
پس از نصب برنامه Sandboxie پوشه ای به نام sandbox در درایوی روی هارد دیسک که برنامه بر روی آن نصب شده ایجاد میگردد. این پوشه شامل تمام تغییراتی است که از اجرای یک فایل ایجاد میگردد. این تغییرات می تواند شامل کلیدهای رجیستری (حذف/اضافه کردن) ، ایجاد یا تغییرات در یک فایل یا حتی حذف فایل از سیستم باشد.
در واقع پوشه sandbox با فراخوانی هر پوشه یا فایل در صورت نبودن آن، فایل یا پوشه ساخته میشود، در فیلم با اجرای فایل MS Word مشکوک به بدافزار روند تغییرات آن را در سندباکس پیگیری میکنیم.
قابل ذکر است پی لود فایل MS WORD مذکور که با پسوند js ساخته شده است دانلود و اجرای یک فایل مخرب از طریق اتصال به اینترنت انجام می شود. اما برای ناشناس ماندن از دید ضدبدافزارها اصطلاحا obfuscate (مبهم سازی کد) شده است. با اجرای ماکرو word فایل جاوا اسکریپت ایجاد می شود که برای دور ماندن از تشخیص بدافزارها مبهم سازی گردیده است، اما نتیجه اجرای آن دریافت پیلود اصلی بدافزار از یک وب سایت می باشد. بدون آلوده شدن سیستم با بستن فایل MS WORD کار برنامه MS WORD پایان میدهیم.