Die Sandbox Engine ist ein Systemverbund aus gesicherten virtuellen Maschinen, die verdächtige E-Mails öffnen, um enthaltene Links oder Anhänge auszuführen und auf Schadcode zu prüfen. Hierbei werden statische, verhaltensbasierte und netzwerkorientierte Analysen durchgeführt. Die Ergebnisse werden in einem ausführlichen Report festgehalten, der sich anschließend zur IT-forensischen Beweissicherung heranziehen lässt. Dazu gehören PCAP Netzwerktraffic dumps, Memory dumps vom Malware Prozess und Screenshots während der Ausführung.

Auf diese Weise lassen sich unbekannte und bekannte Bedrohungen in einer sicheren und vorgelagerten Umgebung ohne Gefahr für das Zielnetz und den E-Mail-Empfänger untersuchen.

Die Sandbox Engine setzt die folgenden Analysemethoden ein:

• Die statische Analyse beinhaltet ein Vergleich mit bekannten Signaturen (Abgleich mit mehr als 20 Antiviren-Engines), Metadaten sowie Keywords bekannter Malware.
• Die verhaltensbasierte Analyse kann Versuche, Virtualisierungschichten zu erkennen, Änderungen in der Registry, (System-) API-Calls, versteckte Threads, Kommandos und Dienste erkennen.
• Bei der netzwerkbasierten Analyse werden Verbindungen zu DNS Servern, Command and Control Servern und Websites zum Nachladen von Schadcode festgehalten.

Mit der Sandbox Engine lässt sich somit innerhalb weniger Minuten eine vollständige Analyse des Gefahrenpotentials einer Datei oder eines Links durchführen.