Get best of the week

Personalização de sandbox: por que você precisa agora



A questão da personalização de imagens de sandbox é relevante desde o início. As primeiras versões desses programas eram soluções internas de empresas de segurança da informação, mas mesmo assim havia a necessidade de um ajuste cuidadoso de máquinas isoladas. E não foi apenas a instalação de software auxiliar para monitorar o estado do sistema.

Até 10 anos atrás, a lógica de coletar e processar características ambientais estava incorporada em amostras maliciosas: nome de usuário e computador, domínio doméstico ou corporativo, direitos de administrador, layout de idioma, número de núcleos de processador, versão do sistema operacional, presença de software antivírus, sinais de virtualização e até a presença de atualizações em sistema . Até o momento, o número de parâmetros e métodos para obtê-los apenas aumentou.

Técnicas de malware para ignorar o Sandbox


No início, a abordagem era bastante direta: se o malware verificar o usuário com o teste de nome, o chamaremos de John; se usarmos a chave do registro SYSTEM \ CurrentControlSet \ Enum \ SCSI \ Disk & Ven_VMware_ & Prod_VMware_Virtual_S para descobrir se estamos em um ambiente virtual, (se possível), substituiremos a chave ou os resultados retornados interceptando a chamada. Como resultado de inúmeros estudos, uma certa base de conhecimento dos métodos de desvio de detecção foi recrutada, que foi usada para configurar o ambiente. Os anos se passaram, os criadores de vírus ( e não apenas ) começaram a usar cada vez mais esse conhecimento em seus trabalhos, o que acabou levando ao seguinte.

A pergunta "Este é um ambiente de pesquisa?" foi substituído por "O ambiente é interessante?" E o interesse não é encontrar traços de algum cliente FTP para roubo de dados subsequente. Agora, se esta é a máquina de um funcionário de contabilidade que usa software específico, então outra coisa. Existem outras abordagens: infectar o usuário com um carregador de inicialização leve, que coleta todas as informações necessárias sobre o sistema, envia para o servidor de gerenciamento e ... não recebe a carga útil em resposta. A lógica do servidor desconhecido decidiu que esta vítima não é do seu interesse.

Então, vemos: as caixas de proteção configuradas por padrão não são uma solução comercial eficaz. Os atacantes estão cada vez mais confiando não em autodefesa contra a detecção, mas em restringir o alcance da busca por alvos interessantes para o desenvolvimento do ataque.

Como combatemos eles?


Em palavras simples, oferecemos uma imagem única de um ambiente isolado. O objetivo é recriar um ambiente o mais semelhante possível à estação de trabalho de um funcionário, com acesso atraente para atacantes: um departamento financeiro, um servidor de construção para integração contínua durante o desenvolvimento, um servidor web, uma máquina de administrador de domínio e, finalmente, uma estação de CEO.

Obviamente, para essa tarefa, você pode liberar vários espaços em branco com o software apropriado "on board", mas é necessário iniciá-los com dados específicos que correspondem a uma organização específica: o nome do domínio, os recursos ou aplicativos usados, os nomes e o conteúdo dos documentos de trabalho - quanto mais nuances, melhor . Às vezes, o ambiente precisa ser ajustado com precisão, até versões e patches de atualização do sistema. No caso mais simples, a imagem pode ser feita simplesmente "cheia de buracos". No entanto, se o seu parque de infraestrutura de TI não for mais antigo que determinadas versões, isso também poderá ser levado em consideração e eliminado muitos vetores de penetração irrelevantes usando um certo número de vulnerabilidades.

Como resultado, obtemos uma imagem que é desconhecida pelos criadores de vírus, é realmente de interesse para eles e, portanto, aumenta muito a probabilidade de detectar um ataque direcionado.

Por que preciso emular o trabalho de um computador "ativo"?


A emulação de ações do usuário é essencial, sem a qual a sandbox perde sua eficácia. Em alguns casos, a ausência de ações levará à detecção da presença na caixa de proteção: por exemplo, se o cursor do mouse não mudar de posição por muito tempo, novas janelas não aparecerão, as aplicações não serão encerradas ou serão executadas poucas, se novos arquivos não aparecerem em diretórios temporários, não atividade de rede. Em outras situações, isso afetará a operação do próprio malware: por exemplo, para executá-lo, é necessário o consentimento do usuário para incluir macros no documento do escritório ou o Trojan mostrará uma caixa de diálogo intermediária na qual será necessário concordar com algo (ou com algo recusar) continuar seu trabalho.

Às vezes, ações insignificantes são simplesmente necessárias: o usuário deve abrir algum documento e anotar algo ou copiar a senha na área de transferência para obter mais informações - é precisamente nesses momentos que um trojan espião pode trabalhar, que interceptará dados importantes e o enviará ao servidor do autor.

Como isso é feito conosco?


Nossa solução está sendo gradualmente reabastecida com novas ações que imitam o trabalho de um usuário vivo. Obviamente, as seqüências predefinidas de eventos planejados de qualquer complexidade nunca podem ser comparadas à variedade de uso real. Continuamos pesquisando e aprimorando esse lado do produto, aumentando sua eficácia.

Além das funções descritas acima, vale destacar uma característica fundamental: nossa sandbox pertence à classe das sem agentes. Na maioria das soluções, há um agente auxiliar dentro da máquina virtual, responsável por gerenciar o estado do sistema, recebendo e transmitindo eventos e artefatos interessantes para o servidor host. Apesar das vantagens no monitoramento e do princípio claro de interação entre o host e as máquinas convidadas, esta solução tem uma desvantagem significativa: a necessidade de ocultar e proteger os objetos associados ao agente contra malware. No caso em que não há provedor de eventos, surge a pergunta: como, então, obter informações sobre o que está acontecendo dentro da máquina virtual?

Para isso, usamos a tecnologia Extended Page Table(EPT) Intel Corporation. É uma página de memória intermediária que fica entre a memória física do convidado e a memória física do host. Em resumo, isso permite que você faça o seguinte:

  • examine a exibição das páginas de memória da máquina convidada;
  • destacar seções interessantes (por exemplo, contendo endereços ou código de funções nucleares);
  • marque as páginas selecionadas para que os direitos de acesso às páginas de memória no EPT não coincidam com os direitos de acesso às páginas na máquina convidada;
  • capturar o recurso para as seções marcadas da memória (neste momento ocorrerá um erro de acesso (#PF), como resultado, a máquina convidada será suspensa);
  • analisar o estado, extrair as informações necessárias sobre o evento;
  • re-layout da página de memória no estado correto;
  • restaurar a máquina convidada.

O monitoramento de tudo o que acontece é realizado fora da máquina isolada. O malware que está dentro não pode detectar o fato da observação.

Executar uma amostra na sandbox e analisar seu comportamento é apenas um dos componentes de um produto complexo. Após o início, a memória do processo é verificada quanto a códigos maliciosos, a atividade de rede é registrada e analisada usando mais de 5000 regras de detecção. Além disso, é possível descriptografar interações seguras.

Todos os indicadores de compromisso (COI), que foram capazes de identificar durante o estudo, são verificados por listas de reputação. Antes de ser submetida à análise dinâmica, a amostra é enviada para processamento estático: é pré-filtrada em vários antivírus e verificada por nosso próprio mecanismo, com regras de detecção de especialistas do centro de segurança especializado (PT Expert Security Center). Utilizamos um exame abrangente, inclusive para identificar anomalias nas meta-informações e artefatos incorporados da amostra.

Quais tarefas o PT Sandbox faz melhor e por quê?


O PT Sandbox combina o conhecimento e a experiência de várias equipes e produtos para combater ataques direcionados. Apesar de o produto poder ser usado no modo de combater ameaças (prevenção), ele ainda é principalmente um meio de monitorar (detectar) a segurança dos sistemas de TI. A principal diferença das soluções clássicas de proteção de terminais é que a tarefa da PT Sandbox é prestar atenção às anomalias e registrar uma ameaça anteriormente desconhecida.

Postado por Alexey Vishnyakov, especialista sênior, Grupo de pesquisa em tecnologias de ameaças, Tecnologias positivas

More articles:


All Articles