Get best of the week

Kustomisasi kotak pasir: mengapa Anda membutuhkannya sekarang



Masalah menyesuaikan gambar kotak pasir telah relevan sejak awal. Versi pertama dari program semacam itu adalah solusi internal perusahaan keamanan informasi, tetapi bahkan kemudian ada kebutuhan untuk penyetelan mesin terisolasi yang telaten. Dan itu bukan hanya pemasangan perangkat lunak tambahan untuk memantau keadaan sistem.

Bahkan 10 tahun yang lalu, logika pengumpulan dan pemrosesan karakteristik lingkungan tertanam dalam sampel berbahaya: nama pengguna dan komputer, domain rumah atau perusahaan, hak administrator, tata letak bahasa, jumlah inti prosesor, versi sistem operasi, keberadaan perangkat lunak antivirus, tanda-tanda virtualisasi, dan bahkan kehadiran pembaruan di sistem . Sampai saat ini, jumlah parameter dan metode untuk mendapatkannya hanya meningkat.

Teknik Malware Bypass Sandware


Pada awalnya, pendekatan itu cukup mudah: jika malware memeriksa pengguna dengan uji nama, maka kami akan memanggilnya John; jika kita menggunakan kunci registri SYSTEM \ CurrentControlSet \ Enum \ SCSI \ Disk & Ven_VMware_ & Prod_VMware_Virtual_S untuk mengetahui apakah kita berada dalam lingkungan virtual, maka (jika mungkin) kita akan mengganti kunci atau hasil yang dikembalikan dengan mencegat panggilan. Sebagai hasil dari banyak penelitian, basis pengetahuan tertentu dari metode bypass deteksi direkrut, yang kemudian digunakan untuk mengatur lingkungan. Bertahun-tahun berlalu, penulis virus ( dan tidak hanya ) semakin mulai menggunakan pengetahuan ini dalam pekerjaan mereka, yang akhirnya mengarah pada yang berikut.

Pertanyaannya, "Apakah ini lingkungan penelitian?" digantikan oleh "Apakah lingkungan itu menarik?" Dan minatnya bukan pada menemukan jejak beberapa klien FTP untuk pencurian data selanjutnya. Sekarang, jika ini adalah mesin seorang karyawan akuntansi yang menggunakan perangkat lunak tertentu, maka hal lain. Ada pendekatan lain: menginfeksi pengguna dengan bootloader ringan yang mengumpulkan semua informasi yang diperlukan tentang sistem, mengirimkannya ke server manajemen dan ... tidak menerima payload sebagai respons. Logika server tidak dikenal telah memutuskan bahwa korban ini tidak menarik.

Jadi kita lihat: kotak pasir yang dikonfigurasi secara default bukan solusi bisnis yang efektif. Penyerang semakin mengandalkan bukan pada pertahanan diri terhadap deteksi, tetapi pada mempersempit rentang pencarian untuk target yang menarik untuk pengembangan serangan lebih lanjut.

Bagaimana kita melawan mereka?


Dengan kata sederhana, kami menawarkan untuk membuat gambar unik dari lingkungan yang terisolasi. Tujuannya adalah untuk menciptakan kembali lingkungan yang semirip mungkin dengan stasiun kerja karyawan, dengan akses yang menarik bagi penyerang: departemen keuangan, server pembangun untuk integrasi berkelanjutan selama pengembangan, server web, mesin administrator domain, dan akhirnya, stasiun CEO.

Tentu saja, untuk tugas seperti itu, Anda dapat merilis sejumlah blank dengan perangkat lunak yang sesuai "on board", tetapi kemudian Anda harus memulainya dengan data spesifik yang sesuai dengan organisasi tertentu: nama domain, sumber daya atau aplikasi yang digunakan, nama dan isi dokumen kerja - semakin banyak nuansa, semakin baik . Terkadang lingkungan perlu disetel dengan halus, hingga versi dan tambalan pembaruan sistem. Dalam kasus paling sederhana, gambar dapat dibuat hanya "penuh lubang." Namun, jika taman infrastruktur TI Anda tidak lebih tua dari versi tertentu, ini juga dapat diperhitungkan dan dihilangkan banyak vektor penetrasi yang tidak relevan menggunakan sejumlah kerentanan tertentu.

Sebagai hasilnya, kami mendapatkan gambar yang tidak diketahui oleh penulis virus, sangat menarik bagi mereka, dan dengan demikian sangat meningkatkan kemungkinan mendeteksi serangan yang ditargetkan.

Mengapa saya harus meniru pekerjaan komputer "langsung"?


Persaingan tindakan pengguna harus dimiliki, tanpanya sandbox kehilangan keefektifannya. Dalam beberapa kasus, tidak adanya tindakan akan menyebabkan deteksi kehadiran di kotak pasir: misalnya, jika kursor mouse tidak mengubah posisinya untuk waktu yang lama, jendela baru tidak muncul, aplikasi tidak dihentikan atau diluncurkan terlalu sedikit, jika file baru tidak muncul dalam direktori sementara, tidak ada aktivitas jaringan. Dalam situasi lain, ini akan mempengaruhi operasi malware itu sendiri: misalnya, untuk menjalankannya, persetujuan pengguna untuk memasukkan makro dalam dokumen kantor diperlukan, atau Trojan akan menampilkan kotak dialog perantara di mana akan diperlukan untuk menyetujui sesuatu (atau dari sesuatu menolak) untuk melanjutkan pekerjaannya.

Kadang-kadang tindakan tidak penting hanya diperlukan: pengguna harus membuka beberapa dokumen dan menuliskan sesuatu atau menyalin kata sandi ke papan klip untuk masukan lebih lanjut - justru pada saat-saat itulah spyware Trojan dapat bekerja yang memotong data penting dan mengirimkannya ke server penulisnya.

Bagaimana ini dilakukan dengan kita?


Solusi kami secara bertahap diisi ulang dengan tindakan baru yang meniru pekerjaan pengguna yang hidup. Tentu saja, urutan yang telah ditentukan dari peristiwa yang direncanakan dari kompleksitas apa pun tidak pernah dapat dibandingkan dengan variasi penggunaan sebenarnya. Kami terus meneliti dan meningkatkan sisi produk ini, meningkatkan efektivitasnya.

Selain fungsi yang dijelaskan di atas, perlu diperhatikan fitur mendasar: kotak pasir kami milik kelas yang tanpa agen. Dalam sebagian besar solusi, ada agen tambahan di dalam mesin virtual yang bertanggung jawab untuk mengelola keadaan sistem, menerima dan mentransmisikan peristiwa dan artefak menarik ke server host. Terlepas dari keuntungan dalam pemantauan dan prinsip interaksi yang jelas antara mesin host dan tamu, solusi ini memiliki kelemahan yang signifikan: kebutuhan untuk menyembunyikan dan melindungi objek yang terkait dengan agen dari malware. Dalam hal ketika tidak ada penyedia acara, muncul pertanyaan: bagaimana, kemudian, untuk mendapatkan informasi tentang apa yang terjadi di dalam mesin virtual?

Untuk ini kami menggunakan teknologi Extended Page Table(EPT) Intel Corporation. Ini adalah halaman memori antara yang terletak di antara memori fisik tamu dan memori fisik host. Singkatnya, ini memungkinkan Anda untuk melakukan hal berikut:

  • memeriksa tampilan halaman memori mesin tamu;
  • sorot bagian yang menarik (misalnya, berisi alamat atau kode fungsi nuklir);
  • tandai halaman yang dipilih sehingga hak akses ke halaman memori di EPT tidak sesuai dengan hak akses ke halaman di mesin tamu;
  • untuk menangkap banding ke bagian memori yang ditandai (pada saat ini akan terjadi kesalahan akses (#PF), akibatnya mesin tamu akan ditangguhkan);
  • menganalisis negara, mengekstrak informasi yang diperlukan tentang acara tersebut;
  • tata ulang halaman memori dalam kondisi yang benar;
  • pulihkan mesin tamu.

Pemantauan semua yang terjadi dilakukan di luar mesin yang terisolasi. Malware yang ada di dalamnya tidak dapat mendeteksi fakta pengamatan.

Menjalankan sampel di kotak pasir dan menganalisis perilakunya hanyalah salah satu komponen dari produk yang kompleks. Setelah memulai, memori proses dipindai untuk kode berbahaya, aktivitas jaringan direkam, yang kemudian dianalisis menggunakan lebih dari 5000 aturan deteksi. Selain itu, dimungkinkan untuk mendekripsi interaksi yang aman.

Semua indikator kompromi (IOC), yang dapat diidentifikasi selama penelitian, diperiksa oleh daftar reputasi. Sebelum menjalani analisis dinamis, sampel dikirim untuk pemrosesan statis: sampel tersebut difilter pada beberapa antivirus dan dipindai oleh mesin kami sendiri dengan aturan deteksi dari para ahli dari pusat keamanan ahli (PT Expert Security Center). Kami menggunakan pemeriksaan komprehensif, termasuk untuk mengidentifikasi anomali dalam meta-informasi dan artefak yang melekat pada sampel.

Tugas apa yang paling baik dilakukan oleh PT Sandbox dan mengapa?


PT Sandbox menggabungkan pengetahuan dan pengalaman beberapa tim dan produk untuk melawan serangan yang ditargetkan. Terlepas dari kenyataan bahwa produk dapat digunakan dalam mode melawan ancaman (pencegahan), itu terutama masih merupakan sarana pemantauan (deteksi) keamanan sistem TI. Perbedaan utama dari solusi perlindungan titik akhir klasik adalah bahwa tugas PT Sandbox adalah memperhatikan anomali dan mendaftarkan ancaman yang sebelumnya tidak diketahui.

Diposting oleh Alexey Vishnyakov, Spesialis Senior, Kelompok Riset Teknologi Ancaman, Teknologi Positif

More articles:


All Articles