Описание проекта
Проблематика
В последние годы наблюдается рост числа целенаправленных и автоматизированных кибератак: вредоносные программы становятся сложнее, используют полиморфизм, «living-off-the-land» техники и скрытую коммуникацию. Традиционные сигнатуры и эвристики не всегда успевают за такими угрозами.
Песочница (sandbox) — контролируемая изолированная среда для безопасного запуска подозрительных образцов — помогает поймать самые опасные и «упоротые» вирусы, потому что она позволяет наблюдать за их поведением (файловые операции, создание процессов, сетевые соединения, изменение реестра, инжекции в память) без риска для основной инфраструктуры. На основе собранных артефактов можно улучшать детекцию, готовить индикаторы компрометации (IoC) и автоматизировать ответные действия.
Цель проекта
Создать оркестровую песочницу под Hyper-V с Windows-нодами, которая автоматически:
-
клонирует виртуальные машины-мишени,
-
разворачивает контрольные точки (checkpoint),
-
запускает подозрительные файлы в изолированных клонов,
-
собирает артефакты (логи, дампы памяти, созданные/изменённые файлы, сетевой трафик),
-
возвращает VM к контрольной точке и уничтожает клон,
-
предоставляет удобную веб-панель (Vue.js) и API (ASP.NET) для управления, мониторинга и анализа,
-
использует PowerShell-инструменты для копирования и оркестрации внутри Windows-нод.
Проект оркеструемой песочницы под Hyper-V с Windows-нодами — жизнеспособная и востребованная система для современного уровня угроз. Комбинация быстрого клонирования, контрольных точек, PowerShell-инструментов и удобного веб-интерфейса позволит быстро анализировать и блокировать наиболее опасные семплы, а также обеспечит богатые артефакты для последующего анализа и обучения детекторов
