Get best of the week

Personalización de sandbox: por qué la necesitas ahora



La cuestión de personalizar las imágenes de sandbox ha sido relevante desde su inicio. Las primeras versiones de dichos programas eran soluciones internas de las empresas de seguridad de la información, pero incluso entonces era necesario un ajuste minucioso de máquinas aisladas. Y no fue solo la instalación de software auxiliar para monitorear el estado del sistema.

Incluso hace 10 años, la lógica de recopilar y procesar características ambientales estaba integrada en muestras maliciosas: nombre de usuario y computadora, dominio doméstico o corporativo, derechos de administrador, diseño del idioma, número de núcleos de procesador, versión del sistema operativo, presencia de software antivirus, signos de virtualización e incluso la presencia de actualizaciones en sistema . Hasta la fecha, el número de parámetros y métodos para obtenerlos solo ha aumentado.

Sandbox Bypass Técnicas de malware


Al principio, el enfoque era bastante sencillo: si el malware verifica al usuario con la prueba de nombre, lo llamaremos John; si usamos la clave de registro SYSTEM \ CurrentControlSet \ Enum \ SCSI \ Disk & Ven_VMware_ & Prod_VMware_Virtual_S para averiguar si estamos en un entorno virtual, entonces (si es posible) reemplazaremos la clave o los resultados devueltos interceptando la llamada. Como resultado de numerosos estudios, se reclutó una cierta base de conocimiento de métodos de detección de derivación, que luego se utilizó para configurar el entorno. Pasaron los años, los creadores de virus ( y no solo ) comenzaron a utilizar cada vez más este conocimiento en su trabajo, lo que finalmente llevó a lo siguiente.

La pregunta "¿Es este un entorno de investigación?" fue reemplazado por "¿Es interesante el medio ambiente?" Y el interés no está en encontrar rastros de algún cliente FTP para el robo de datos posterior. Ahora, si esta es la máquina de un empleado de contabilidad que usa un software específico, entonces otra cosa. Hay otros enfoques: infecte al usuario con un cargador de arranque liviano que recopile toda la información necesaria sobre el sistema, la envíe al servidor de administración y ... no reciba la carga útil en respuesta. La lógica de servidor desconocida ha decidido que esta víctima no es de interés.

Así vemos: los sandboxes configurados por defecto no son una solución comercial efectiva. Los atacantes dependen cada vez más de la autodefensa contra la detección, sino de reducir el rango de búsqueda de objetivos interesantes para el desarrollo posterior del ataque.

¿Cómo luchamos contra ellos?


En palabras simples, ofrecemos hacer una imagen única de un entorno aislado. El objetivo es recrear un entorno que sea lo más similar posible a la estación de trabajo de un empleado, con acceso atractivo para los atacantes: un departamento de finanzas, un servidor de compilación para una integración continua durante el desarrollo, un servidor web, una máquina de administrador de dominio y, finalmente, la estación del CEO.

Por supuesto, para tal tarea, puede liberar una serie de espacios en blanco con el software "a bordo" apropiado, pero luego debe comenzar con datos específicos que correspondan a una organización en particular: el nombre de dominio, los recursos o aplicaciones utilizados, los nombres y el contenido de los documentos de trabajo: cuantos más matices, mejor . A veces, el entorno debe ajustarse con precisión, hasta las versiones y parches de actualización del sistema. En el caso más simple, la imagen se puede hacer simplemente "llena de agujeros". Sin embargo, si su parque de infraestructura de TI no es anterior a ciertas versiones, esto también se puede tener en cuenta y eliminar muchos vectores de penetración irrelevantes que utilizan un cierto número de vulnerabilidades.

Como resultado, obtenemos una imagen desconocida para los creadores de virus, que realmente les interesa y, por lo tanto, aumenta enormemente la probabilidad de detectar un ataque dirigido.

¿Por qué necesito emular el trabajo de una computadora "en vivo"?


La emulación de las acciones del usuario es imprescindible, sin lo cual el sandbox pierde su efectividad. En algunos casos, la ausencia de acciones conducirá a la detección de la presencia en el entorno limitado: por ejemplo, si el cursor del mouse no cambia su posición durante mucho tiempo, no aparecen nuevas ventanas, no se finalizan las aplicaciones o se lanzan muy pocas, si no aparecen nuevos archivos en directorios temporales, no actividad de red. En otras situaciones, esto afectará el funcionamiento del malware en sí: por ejemplo, para ejecutarlo, se requiere el consentimiento del usuario para incluir macros en el documento de Office, o el troyano mostrará un cuadro de diálogo intermedio en el que será necesario estar de acuerdo con algo (o desde algo rechazar) para continuar su trabajo.

A veces, las acciones insignificantes son simplemente necesarias: el usuario debe abrir algún documento y escribir algo o copiar la contraseña en el portapapeles para obtener más información; es precisamente en esos momentos que un troyano espía puede funcionar, lo que interceptará datos importantes y los enviará al servidor de su autor.

¿Cómo se hace esto con nosotros?


Nuestra solución se repone gradualmente con nuevas acciones que emulan el trabajo de un usuario vivo. Por supuesto, las secuencias predefinidas de eventos planificados de cualquier complejidad nunca se pueden comparar con la variedad de uso real. Continuamos investigando y mejorando este lado del producto, aumentando su efectividad.

Además de las funciones descritas anteriormente, vale la pena señalar una característica fundamental: nuestro entorno limitado pertenece a la clase de los agentes sin agente. En la mayoría de las soluciones, hay un agente auxiliar dentro de la máquina virtual que es responsable de administrar el estado del sistema, recibir y transmitir eventos y artefactos interesantes al servidor host. A pesar de las ventajas en el monitoreo y el claro principio de interacción entre el host y las máquinas invitadas, esta solución tiene un inconveniente significativo: la necesidad de ocultar y proteger los objetos asociados con el agente del malware. En el caso de que no haya un proveedor de eventos, surge la pregunta: ¿cómo, entonces, obtener información sobre lo que sucede dentro de la máquina virtual?

Para esto utilizamos la tecnología Tabla de página extendida(EPT) Intel Corporation. Es una página de memoria intermedia que se encuentra entre la memoria física del invitado y la memoria física del host. En resumen, esto le permite hacer lo siguiente:

  • examinar la visualización de las páginas de memoria de la máquina invitada;
  • resaltar secciones interesantes (por ejemplo, que contienen direcciones o códigos de funciones nucleares);
  • marque las páginas seleccionadas para que los derechos de acceso a las páginas de memoria en el EPT no coincidan con los derechos de acceso a las páginas en la máquina invitada;
  • para captar el atractivo de las secciones de memoria marcadas (en este momento se producirá un error de acceso (#PF), como resultado, la máquina invitada se suspenderá);
  • analizar el estado, extraer la información necesaria sobre el evento;
  • rediseñar la página de memoria en el estado correcto;
  • restaurar la máquina invitada.

El monitoreo de todo lo que sucede se lleva a cabo fuera de la máquina aislada. El malware que está dentro no puede detectar el hecho de la observación.

Ejecutar una muestra en el sandbox y analizar su comportamiento es solo uno de los componentes de un producto complejo. Después de comenzar, la memoria del proceso se escanea en busca de código malicioso, se registra la actividad de la red, que luego se analiza utilizando más de 5000 reglas de detección. Además, es posible descifrar interacciones seguras.

Todos los indicadores de compromiso (COI), que pudieron identificarse durante el estudio, se verifican mediante listas de reputación. Antes de someterse a un análisis dinámico, la muestra se envía para procesamiento estático: se filtra previamente en varios antivirus y se escanea por nuestro propio motor con reglas de detección de expertos del centro de seguridad experto (PT Expert Security Center). Utilizamos un examen exhaustivo, incluso para identificar anomalías en la metainformación y los artefactos integrados de la muestra.

¿Qué tareas hace PT Sandbox mejor y por qué?


PT Sandbox combina el conocimiento y la experiencia de varios equipos y productos para contrarrestar los ataques dirigidos. A pesar de que el producto se puede utilizar en el modo de contrarrestar amenazas (prevención), sigue siendo principalmente un medio para monitorear (detectar) la seguridad de los sistemas de TI. La diferencia clave con las soluciones de protección de punto final clásicas es que la tarea de PT Sandbox es prestar atención a las anomalías y registrar una amenaza previamente desconocida.

Publicado por Alexey Vishnyakov, Especialista Senior, Grupo de Investigación de Tecnologías de Amenaza, Tecnologías Positivas

More articles:


All Articles