🔬 Sandbox Report Analysis

Как читать и анализировать отчеты VirusTotal, Any.run, Hybrid Analysis

VirusTotal
Multi-engine AV scanning & static analysis

🔍 Detection Overview

  • Detection Ratio: X/70+ engines >20 = Malicious
  • Community Score: Votes и комментарии пользователей
  • First Submission: Когда впервые увидели sample
  • Last Analysis: Актуальность результатов

📊 Key Sections to Check

  • Details Tab: File properties, PE info, signatures
  • Relations: Связанные файлы, URLs, IPs
  • Behavior: Sandbox execution (если есть)
  • Community: YARA rules, comments, votes
  • Submissions: История и источники

🎯 What to Look For

  • Packed/Obfuscated indicators
  • Suspicious imports (VirtualAlloc, CreateRemoteThread)
  • Network indicators в Relations
  • Similar samples через Content tab
  • Dropped files и persistence mechanisms
ANY.RUN
Interactive online sandbox с real-time анализом

🖥️ Process Tree Analysis

  • Parent-Child: Подозрительные spawn chains
  • Process Scores: Malicious/Suspicious маркировка
  • Injection: Process hollowing, injection indicators
  • Hidden Processes: Rootkit-like поведение

🌐 Network Activity

  • HTTP Requests: C2 communication patterns
  • DNS Queries: DGA domains, suspicious lookups
  • Connections Map: Географическое распределение
  • PCAP Download: Для deep packet analysis

💾 File & Registry Activity

  • Dropped/Modified files с IOC тегами
  • Registry persistence (Run keys, services)
  • File timeline для понимания execution flow
  • Screenshots изменений на системе
Hybrid Analysis
Deep malware analysis platform by CrowdStrike

📈 Threat Score & Classification

  • Threat Score: 0-100 (>70 = высокий риск)
  • AV Detection: Multi-engine результаты
  • Malware Family: Attribution если известно
  • Tags: ransomware, trojan, backdoor etc.

🔬 Behavioral Indicators

  • MITRE ATT&CK: Mapped techniques
  • Risk Indicators: Подозрительные действия
  • API Calls: Sequence и parameters
  • Mutex: Для обнаружения дубликатов

📋 Extracted Artifacts

  • Strings extraction с контекстом
  • Memory dumps для анализа
  • Network IOCs с confidence levels
  • Unpacked payloads если обнаружены

🎯 Ключевые индикаторы вредоносности

🔐
Обфускация и упаковка
• Высокая энтропия секций
• Packed with UPX, Themida, VMProtect
• Obfuscated strings и API calls
• Anti-debugging/Anti-VM techniques
🌐
Сетевое поведение
• HTTP POST to suspicious domains
• Non-standard ports usage
• Beaconing behavior (periodic callbacks)
• DNS queries to DGA domains
💾
Системные изменения
• Autostart registry modifications
• Service creation
• Security software tampering
• Shadow copy deletion
Process поведение
• Process injection techniques
• Suspicious child processes
• Memory allocation patterns
• Token manipulation
📁
File операции
• Drops files in %TEMP%, %APPDATA%
• Mass file encryption (ransomware)
• Document enumeration
• Hidden file attributes
🎭
Evasion техники
• Sleep/delay перед выполнением
• Geolocation/language checks
• Sandbox detection attempts
• Code injection в legit processes

📋 Пошаговый анализ Sandbox отчетов

1
Initial Assessment
• Проверить detection ratio и threat score
• Посмотреть malware family classification
• Оценить first seen date (новая угроза?)
• Проверить похожие samples
2
Static Analysis Review
• File properties: size, hash, type
• PE headers и секции (для executables)
• Imports/Exports таблицы
• Strings и embedded resources
3
Behavioral Analysis
• Process tree и execution flow
• Registry и file modifications
• Network connections и protocols
• API calls sequence
4
IOC Extraction
• Собрать file hashes (MD5, SHA256)
• Network IOCs: IPs, domains, URLs
• Registry keys и file paths
• Mutex names и service names
5
Context & Attribution
• MITRE ATT&CK mapping
• Similar samples и campaigns
• Threat actor attribution если возможно
• Business impact assessment
6
Reporting & Action
• Документировать findings
• Создать detection rules
• Block IOCs в security controls
• Share threat intelligence

🎭 Распространенные паттерны малвари

🔒 Ransomware Indicators
  • Mass file enumeration и открытие
  • Crypto API calls (CryptEncrypt)
  • Shadow copy deletion (vssadmin, wmic)
  • Ransom note creation в multiple folders
  • File extension changes (.locked, .encrypted)
🕵️ InfoStealer Patterns
  • Browser data access (cookies, passwords)
  • Cryptocurrency wallet searches
  • Screenshot capabilities
  • Keylogging через SetWindowsHookEx
  • FTP/Email client credential theft
🚪 Backdoor/RAT Behavior
  • Persistence через registry/services
  • Regular beacon to C2
  • Remote command execution
  • File upload/download capabilities
  • Process/service manipulation
⛏️ Cryptominer Signs
  • High CPU usage patterns
  • Mining pool connections
  • Wallet addresses в strings
  • GPU detection routines
  • Process hiding techniques
🎣 Dropper/Downloader
  • Small initial file size
  • HTTP/HTTPS download activity
  • Drops executable в %TEMP%
  • Process spawning после download
  • Self-deletion после execution
🛡️ Banking Trojan
  • Web injection capabilities
  • Browser hooks установка
  • Targets banking URLs
  • Form grabbing functionality
  • SMS/2FA bypass attempts

💡 Pro Tips для анализа

⏱️
Timing Analysis: Обращайте внимание на delays и sleep вызовы - малварь часто ждет перед выполнением для обхода sandboxes
🔗
Cross-Reference: Используйте несколько sandbox платформ - разные окружения могут выявить разное поведение
🎯
Focus Points: Приоритет на network IOCs и persistence - это наиболее actionable для блокировки
📝
Documentation: Сохраняйте PDF отчеты и screenshots - sandbox результаты могут стать недоступны
🔍
Deep Dive: Скачивайте PCAP и memory dumps для углубленного анализа в своих инструментах
⚠️
False Positives: Legitimate software тоже может показывать подозрительное поведение - проверяйте контекст