Get best of the week

تخصيص Sandbox: لماذا تحتاجه الآن



كانت مسألة تخصيص صور وضع الحماية ذات صلة منذ إنشائها. كانت الإصدارات الأولى من هذه البرامج حلولًا داخلية لشركات أمن المعلومات ، ولكن حتى ذلك الحين كانت هناك حاجة إلى ضبط دقيق للآلات المعزولة. ولم يقتصر الأمر على تثبيت البرامج المساعدة لمراقبة حالة النظام.

حتى قبل 10 سنوات ، تم تضمين منطق جمع ومعالجة الخصائص البيئية في عينات ضارة: اسم المستخدم والكمبيوتر ، والمنزل أو نطاق الشركة ، وحقوق المسؤول ، وتخطيط اللغة ، وعدد النوى من المعالج ، وإصدار نظام التشغيل ، ووجود برامج مكافحة الفيروسات ، وعلامات المحاكاة الافتراضية ، وحتى وجود التحديثات في النظام . حتى الآن ، زاد عدد المعلمات وطرق الحصول عليها فقط.

تقنيات Sandbox Bypass Malware


في البداية ، كان النهج واضحًا إلى حد ما: إذا فحصت البرامج الضارة المستخدم باختبار الاسم ، فسنتصل به باسم جون ؛ إذا استخدمنا مفتاح التسجيل SYSTEM \ CurrentControlSet \ Enum \ SCSI \ Disk & Ven_VMware_ & Prod_VMware_Virtual_S لمعرفة ما إذا كنا في بيئة افتراضية ، فإننا (إن أمكن) سنستبدل المفتاح أو النتائج المرتجعة عن طريق اعتراض المكالمة. نتيجة لدراسات عديدة ، تم توظيف قاعدة معرفية معينة لطرق الالتفاف للكشف ، والتي تم استخدامها بعد ذلك لإعداد البيئة. مرت سنوات ، بدأ كتاب الفيروسات ( وليس فقط ) بشكل متزايد في استخدام هذه المعرفة في عملهم ، مما أدى في النهاية إلى ما يلي.

السؤال "هل هذه بيئة بحثية؟" تم استبداله بـ "هل البيئة مثيرة للاهتمام؟" والفائدة ليست في العثور على آثار لبعض عميل FTP لسرقة البيانات اللاحقة. الآن ، إذا كانت هذه هي آلة موظف محاسبة يستخدم برنامجًا معينًا ، فهذا شيء آخر. هناك طرق أخرى: لإصابة المستخدم بجهاز تحميل خفيف الوزن ، والذي سيجمع كل المعلومات الضرورية حول النظام ، ويرسله إلى خادم الإدارة و ... لن يستقبل الحمولة كرد فعل. قرر منطق الخادم غير المعروف أن هذه الضحية ليست ذات أهمية.

لذا نرى: إن صناديق الرمل التي تم تكوينها افتراضيًا ليست حلاً فعالاً للأعمال. يعتمد المهاجمون بشكل متزايد ليس على الدفاع عن النفس ضد الكشف ، ولكن على تضييق نطاق البحث عن أهداف مثيرة للاهتمام لمواصلة تطوير الهجوم.

كيف نحاربهم؟


بكلمات بسيطة ، نقدم لعمل صورة فريدة لبيئة معزولة. الهدف هو إعادة إنشاء بيئة تشبه إلى أقصى حد ممكن محطة عمل الموظف ، مع إمكانية وصول جذابة للمهاجمين: قسم الشؤون المالية ، وخادم البناء للتكامل المستمر أثناء التطوير ، وخادم الويب ، وآلة مسؤول المجال ، وأخيرًا ، محطة الرئيس التنفيذي.

بالطبع ، لمثل هذه المهمة ، يمكنك إصدار عدد من الفراغات باستخدام البرنامج المناسب "على متن" ، ولكنك تحتاج بعد ذلك إلى بدء تشغيلها ببيانات محددة تتوافق مع منظمة معينة: اسم المجال ، الموارد أو التطبيقات المستخدمة ، أسماء ومحتويات مستندات العمل - كلما زادت الفروق الدقيقة ، كلما كان ذلك أفضل . في بعض الأحيان ، يجب ضبط البيئة بدقة ، حتى تصل إلى إصدارات تحديث النظام والتصحيحات. في أبسط الحالات ، يمكن جعل الصورة ببساطة "مليئة بالثقوب". ومع ذلك ، إذا لم يكن متنزه البنية التحتية لتكنولوجيا المعلومات أقدم من إصدارات معينة ، فيمكن أن يؤخذ هذا في الاعتبار أيضًا ويزيل الكثير من نواقل الاختراق غير ذات الصلة باستخدام عدد معين من الثغرات الأمنية.

ونتيجة لذلك ، نحصل على صورة غير معروفة لكتاب الفيروسات ، وهي في الحقيقة تهمهم ، وبالتالي تزيد بشكل كبير من احتمال اكتشاف هجوم مستهدف.

لماذا أحتاج إلى محاكاة عمل جهاز كمبيوتر "حي"؟


لا بد من محاكاة تصرفات المستخدم ، والتي بدونها يفقد صندوق الحماية فعاليته. في بعض الحالات ، سيؤدي غياب الإجراءات إلى الكشف عن التواجد في وضع الحماية: على سبيل المثال ، إذا لم يغير مؤشر الماوس موضعه لفترة طويلة ، لا تظهر نوافذ جديدة ، لا يتم إنهاء التطبيقات أو يتم تشغيل عدد قليل جدًا ، إذا لم تظهر الملفات الجديدة في أدلة مؤقتة ، لا نشاط الشبكة. في حالات أخرى ، سيؤثر هذا على تشغيل البرامج الضارة نفسها: على سبيل المثال ، لتشغيلها ، مطلوب موافقة المستخدم على تضمين وحدات الماكرو في مستند Office ، أو ستعرض Trojan مربع حوار وسيط سيكون من الضروري فيه الاتفاق مع شيء ما (أو من شيء رفض) لمواصلة عمله.

في بعض الأحيان ، تكون الإجراءات غير المهمة ضرورية ببساطة: يجب على المستخدم فتح بعض المستندات وكتابة شيء ما أو نسخ كلمة المرور إلى الحافظة لمزيد من الإدخال - في مثل هذه اللحظات بالضبط يمكن أن يعمل حصان طروادة التجسس ، والذي سيعترض البيانات المهمة ويرسلها إلى خادم مؤلفها.

كيف يتم ذلك معنا؟


يتم تجديد حلنا تدريجيًا بإجراءات جديدة تحاكي عمل مستخدم حي. بالطبع ، لا يمكن أبدًا مقارنة التسلسلات المحددة مسبقًا للأحداث المخطط لها من أي تعقيد مع تنوع الاستخدام الحقيقي. نواصل البحث وتحسين هذا الجانب من المنتج ، وزيادة فعاليته.

بالإضافة إلى الوظائف الموضحة أعلاه ، تجدر الإشارة إلى ميزة أساسية: ينتمي صندوق الرمل الخاص بنا إلى فئة تلك التي لا تحتوي على وكيل. في معظم الحلول ، يوجد وكيل مساعد داخل الجهاز الظاهري ، وهو المسؤول عن إدارة حالة النظام ، واستقبال وإرسال الأحداث والتحف المثيرة للاهتمام إلى الخادم المضيف. على الرغم من مزايا المراقبة والمبدأ الواضح للتفاعل بين أجهزة المضيف والضيف ، فإن هذا الحل له عيب كبير: الحاجة إلى إخفاء وحماية الكائنات المرتبطة بالوكيل من البرامج الضارة. في حالة عدم وجود مزود للأحداث ، يطرح السؤال: كيف ، إذن ، للحصول على معلومات حول ما يحدث داخل الجهاز الظاهري؟

لهذا نستخدم تقنية Extended Page Table(EPT) شركة إنتل. وهي صفحة ذاكرة وسيطة تقع بين الذاكرة الفعلية للضيف والذاكرة الفعلية للمضيف. باختصار ، يتيح لك هذا القيام بما يلي:

  • فحص عرض صفحات ذاكرة جهاز الضيف ؛
  • تسليط الضوء على أقسام مثيرة للاهتمام (على سبيل المثال ، تحتوي على عناوين أو رمز الوظائف النووية) ؛
  • ضع علامة على الصفحات المحددة بحيث لا تتوافق حقوق الوصول إلى صفحات الذاكرة في EPT مع حقوق الوصول إلى الصفحات في جهاز الضيف ؛
  • لالتقاط النداء إلى أقسام الذاكرة المرمزة (في هذه اللحظة سيحدث خطأ في الوصول (#PF) ، ونتيجة لذلك ، سيتم تعليق جهاز الضيف) ؛
  • تحليل الحالة ، واستخراج المعلومات اللازمة حول الحدث ؛
  • إعادة تخطيط صفحة الذاكرة في الحالة الصحيحة ؛
  • استعادة آلة الضيف.

تتم مراقبة كل ما يحدث خارج الآلة المعزولة. لا يمكن للبرامج الضارة الموجودة في الداخل اكتشاف حقيقة الملاحظة.

يعد تشغيل عينة في وضع الحماية وتحليل سلوكها أحد مكونات المنتج المعقد. بعد البدء ، يتم فحص ذاكرة العملية بحثًا عن رمز ضار ، ويتم تسجيل نشاط الشبكة ، والذي يتم تحليله بعد ذلك باستخدام أكثر من 5000 قاعدة كشف. بالإضافة إلى ذلك ، من الممكن فك تشفير التفاعلات الآمنة.

يتم التحقق من جميع مؤشرات التوافق (IOC) ، التي كانت قادرة على تحديد أثناء الدراسة ، من خلال قوائم السمعة. قبل الخضوع للتحليل الديناميكي ، يتم إرسال العينة للمعالجة الثابتة: يتم ترشيحها مسبقًا على العديد من مضادات الفيروسات ويتم فحصها بواسطة محركنا الخاص بها باستخدام قواعد الكشف من خبراء مركز الأمان الخبير (PT Expert Security Center). نحن نستخدم فحصًا شاملاً ، بما في ذلك تحديد الشذوذ في المعلومات الوصفية والتحف المدمجة في العينة.

ما المهام التي يؤديها PT Sandbox بشكل أفضل ولماذا؟


يجمع PT Sandbox بين معرفة وخبرة العديد من الفرق والمنتجات لمواجهة الهجمات المستهدفة. على الرغم من حقيقة أن المنتج يمكن استخدامه في وضع مكافحة التهديدات (الوقاية) ، فإنه لا يزال في المقام الأول وسيلة لرصد (الكشف) أمن أنظمة تكنولوجيا المعلومات. الاختلاف الرئيسي عن حلول حماية نقطة النهاية الكلاسيكية هو أن مهمة PT Sandbox هي الانتباه إلى الحالات الشاذة وتسجيل تهديد غير معروف سابقًا.

أرسلت بواسطة أليكسي فيشنياكوف، كبير أخصائي التهديد مجموعة أبحاث تكنولوجيا وتقنيات إيجابي

More articles:


All Articles