Get best of the week

Sandbox-Anpassung: Warum brauchen Sie es jetzt?



Das Problem der Anpassung von Sandbox-Bildern war von Anfang an relevant. Die ersten Versionen solcher Programme waren interne Lösungen von Unternehmen für Informationssicherheit, aber selbst dann bestand die Notwendigkeit, isolierte Maschinen sorgfältig abzustimmen. Und es war nicht nur die Installation von Hilfssoftware zur Überwachung des Systemzustands.

Noch vor 10 Jahren war die Logik des Erfassens und Verarbeitens von Umgebungsmerkmalen in böswillige Beispiele eingebettet: Benutzername und Computer, Privat- oder Unternehmensdomäne, Administratorrechte, Sprachlayout, Anzahl der Prozessorkerne, Version des Betriebssystems, Vorhandensein von Antivirensoftware, Anzeichen von Virtualisierung und sogar das Vorhandensein von Updates in System . Bisher hat die Anzahl der Parameter und Methoden zu deren Erlangung nur zugenommen.

Sandbox-Bypass-Malware-Techniken


Anfangs war der Ansatz ziemlich einfach: Wenn die Malware den Benutzer mit dem Namenstest überprüft, nennen wir ihn John. Wenn wir den Registrierungsschlüssel SYSTEM \ CurrentControlSet \ Enum \ SCSI \ Disk & Ven_VMware_ & Prod_VMware_Virtual_S verwenden, um herauszufinden, ob wir uns in einer virtuellen Umgebung befinden, ersetzen wir (wenn möglich) den Schlüssel oder die zurückgegebenen Ergebnisse, indem wir den Aufruf abfangen. Als Ergebnis zahlreicher Studien wurde eine bestimmte Wissensbasis für Detektions-Bypass-Methoden rekrutiert, die dann zur Einrichtung der Umgebung verwendet wurde. Jahre vergingen, und Virenschreiber ( und nicht nur ) nutzten dieses Wissen zunehmend für ihre Arbeit, was letztendlich zu Folgendem führte.

Die Frage "Ist das eine Forschungsumgebung?" wurde ersetzt durch "Ist die Umgebung interessant?" Und das Interesse besteht nicht darin, Spuren eines FTP-Clients für nachfolgenden Datendiebstahl zu finden. Wenn dies die Maschine eines Buchhaltungsmitarbeiters ist , der bestimmte Software verwendet, dann eine andere Sache. Es gibt andere Ansätze: Um den Benutzer mit einem leichten Bootloader zu infizieren, der alle erforderlichen Informationen über das System sammelt, an den Verwaltungsserver sendet und ... die Nutzdaten nicht als Antwort erhält. Unbekannte Serverlogik hat entschieden, dass dieses Opfer nicht von Interesse ist.

Wir sehen also: Standardmäßig konfigurierte Sandboxen sind keine effektive Geschäftslösung. Angreifer verlassen sich zunehmend nicht auf Selbstverteidigung gegen Entdeckung, sondern auf die Einschränkung des Suchbereichs nach interessanten Zielen für die weitere Entwicklung des Angriffs.

Wie bekämpfen wir sie?


Mit einfachen Worten, wir bieten an, ein einzigartiges Bild einer isolierten Umgebung zu erstellen. Ziel ist es, eine Umgebung zu schaffen, die der Workstation eines Mitarbeiters so ähnlich wie möglich ist und für Angreifer einen attraktiven Zugriff bietet: eine Finanzabteilung, einen Build-Server für die kontinuierliche Integration während der Entwicklung, einen Webserver, einen Domänenadministrator-Computer und schließlich eine CEO-Station.

Natürlich können Sie für eine solche Aufgabe eine Reihe von Leerzeichen mit der entsprechenden Software „an Bord“ freigeben, aber dann müssen Sie sie mit bestimmten Daten starten, die einer bestimmten Organisation entsprechen: dem Domänennamen, den verwendeten Ressourcen oder Anwendungen, den Namen und Inhalten von Arbeitsdokumenten - je mehr Nuancen, desto besser . Manchmal muss die Umgebung bis zu Systemupdateversionen und Patches genau abgestimmt werden. Im einfachsten Fall kann das Bild einfach "voller Löcher" gemacht werden. Wenn Ihr IT-Infrastrukturpark jedoch nicht älter als bestimmte Versionen ist, kann dies auch berücksichtigt und viele irrelevante Penetrationsvektoren mit einer bestimmten Anzahl von Schwachstellen beseitigt werden.

Als Ergebnis erhalten wir ein Bild, das Virenschreibern unbekannt ist, für sie wirklich von Interesse ist und dadurch die Wahrscheinlichkeit, einen gezielten Angriff zu erkennen, erheblich erhöht.

Warum muss ich die Arbeit eines "Live" -Computers emulieren?


Die Emulation von Benutzeraktionen ist ein Muss, ohne das die Sandbox ihre Wirksamkeit verliert. In einigen Fällen führt das Fehlen von Aktionen dazu, dass das Vorhandensein in der Sandbox erkannt wird: Wenn beispielsweise der Mauszeiger seine Position längere Zeit nicht ändert, neue Fenster nicht angezeigt werden, Anwendungen nicht beendet werden oder zu wenige gestartet werden, wenn neue Dateien nicht in temporären Verzeichnissen angezeigt werden, nein Netzwerkaktivität. In anderen Situationen wirkt sich dies auf den Betrieb der Malware selbst aus: Zum Ausführen ist beispielsweise die Zustimmung des Benutzers erforderlich, Makros in das Office-Dokument aufzunehmen, oder der Trojaner zeigt ein Zwischendialogfeld an, in dem eine Übereinstimmung mit etwas (oder von etwas) erforderlich ist sich weigern), seine Arbeit fortzusetzen.

Manchmal sind einfach unbedeutende Aktionen erforderlich: Der Benutzer muss ein Dokument öffnen und etwas aufschreiben oder das Kennwort zur weiteren Eingabe in die Zwischenablage kopieren. Genau in diesen Momenten kann ein Spionagetrojaner arbeiten, der wichtige Daten abfängt und an den Server seines Autors sendet.

Wie geht das bei uns?


Unsere Lösung wird schrittweise mit neuen Aktionen ergänzt, die die Arbeit eines lebenden Benutzers nachahmen. Natürlich können die vordefinierten Sequenzen geplanter Ereignisse jeglicher Komplexität niemals mit der Vielfalt der tatsächlichen Verwendung verglichen werden. Wir erforschen und verbessern diese Seite des Produkts weiter und erhöhen seine Wirksamkeit.

Neben den oben beschriebenen Funktionen ist ein grundlegendes Merkmal zu beachten: Unsere Sandbox gehört zur Klasse der agentenlosen. In den meisten Lösungen befindet sich in der virtuellen Maschine ein Hilfsagent, der für die Verwaltung des Systemstatus, den Empfang und die Übertragung interessanter Ereignisse und Artefakte an den Hostserver verantwortlich ist. Trotz der Vorteile bei der Überwachung und des klaren Prinzips der Interaktion zwischen Host- und Gastcomputern weist diese Lösung einen erheblichen Nachteil auf: Die Notwendigkeit, mit dem Agenten verknüpfte Objekte vor Malware zu verbergen und zu schützen. Wenn es keinen Ereignisanbieter gibt, stellt sich die Frage: Wie kann man dann Informationen darüber erhalten, was in der virtuellen Maschine geschieht?

Hierfür verwenden wir die Technologie Extended Page Table(EPT) Intel Corporation. Es handelt sich um eine Zwischenspeicherseite, die sich zwischen dem physischen Gastspeicher und dem physischen Hostspeicher befindet. Kurz gesagt, dies ermöglicht Ihnen Folgendes:

  • Überprüfen Sie die Anzeige der Speicherseiten des Gastes.
  • interessante Abschnitte hervorheben (z. B. Adressen oder Code von Kernfunktionen);
  • Markieren Sie die ausgewählten Seiten so, dass die Zugriffsrechte auf die Speicherseiten in der EPT nicht mit den Zugriffsrechten auf die Seiten im Gastcomputer übereinstimmen.
  • um den Appell an die markierten Speicherbereiche zu fangen (in diesem Moment tritt ein Zugriffsfehler (#PF) auf, wodurch der Gastcomputer angehalten wird);
  • den Zustand analysieren, die notwendigen Informationen über das Ereignis extrahieren;
  • Layout der Speicherseite im richtigen Zustand;
  • Stellen Sie den Gastcomputer wieder her.

Die Überwachung aller Vorgänge erfolgt außerhalb der isolierten Maschine. Die darin enthaltene Malware kann die Tatsache der Beobachtung nicht erkennen.

Das Ausführen einer Probe in der Sandbox und das Analysieren ihres Verhaltens ist nur eine der Komponenten eines komplexen Produkts. Nach dem Start wird der Prozessspeicher auf schädlichen Code überprüft, die Netzwerkaktivität aufgezeichnet und anschließend anhand von mehr als 5000 Erkennungsregeln analysiert. Darüber hinaus ist es möglich, sichere Interaktionen zu entschlüsseln.

Alle Kompromissindikatoren (IOC), die während der Studie identifiziert werden konnten, werden anhand von Reputationslisten überprüft. Bevor die dynamische Analyse unterziehen, wird die Probe für statische Verarbeitung gesendet: es auf mehrere Antivirenprogramme und gescannt von unseren eigenen Motor mit Erkennungsregeln von Experten des vorgefilterten ist Experte Sicherheitszentrum (PT Expert Security Center). Wir verwenden eine umfassende Untersuchung, um Anomalien in Metainformationen und eingebetteten Artefakten der Stichprobe zu identifizieren.

Welche Aufgaben erledigt PT Sandbox am besten und warum?


PT Sandbox kombiniert das Wissen und die Erfahrung mehrerer Teams und Produkte, um gezielten Angriffen entgegenzuwirken. Trotz der Tatsache, dass das Produkt zur Abwehr von Bedrohungen (Prävention) eingesetzt werden kann, ist es nach wie vor in erster Linie ein Mittel zur Überwachung (Erkennung) der Sicherheit von IT-Systemen. Der Hauptunterschied zu den klassischen Endpoint Protection-Lösungen besteht darin, dass PT Sandbox die Aufgabe hat, auf Anomalien zu achten und eine bisher unbekannte Bedrohung zu registrieren. Gepostet

von Alexey Vishnyakov, Senior Specialist, Forschungsgruppe Threat Technologies, Positive Technologies

More articles:


All Articles