Get best of the week

沙盒自定义:为什么现在需要它



自沙盒映像创建以来,其问题就一直存在。此类程序的第一个版本是信息安全公司的内部解决方案,但即便如此,仍需要对隔离的机器进行细致的调整。而且不仅是安装辅助软件来监视系统状态。

即使在10年前,收集和处理环境特征的逻辑也已嵌入到恶意样本中:用户名和计算机,家庭或公司域,管理员权限,语言布局,处理器核心数量,操作系统版本,防病毒软件的存在,虚拟化的迹象,甚至存在更新中的更新。系统迄今为止,参数和获取参数的方法仅在增加。

沙盒绕过恶意软件技术


最初,这种方法相当简单:如果恶意软件通过名称测试来检查用户,则我们将其称为John;如果我们使用注册表项SYSTEM \ CurrentControlSet \ Enum \ SCSI \ Disk&Ven_VMware_&Prod_VMware_Virtual_S来确定我们是否处于虚拟环境中,那么(如果可能)我们将通过拦截呼叫来替换注册表项或返回的结果。作为大量研究的结果,召集了一定的检测旁路方法知识库,然后将其用于建立环境。多年过去了,病毒作者(不仅是)越来越多地开始在工作中使用这些知识,最终导致了随后的发展。

问题“这是一个研究环境吗?” 改为“环境有趣吗?” 而且兴趣不在于寻找某些FTP客户端的痕迹以进行后续数据盗窃。现在,如果这是使用特定软件的会计员工的机器,则另一回事。还有其他方法:用轻量级的引导加载程序感染用户,该引导加载程序将收集有关系统的所有必要信息,将其发送到管理服务器,并且...将不会收到有效负载作为响应。未知的服务器逻辑已确定该受害人不感兴趣。

因此,我们看到:默认配置的沙箱不是有效的业务解决方案。攻击者越来越多地不依靠自我防御来进行检测,而是依靠缩小寻找有趣目标的范围来进一步发展攻击。

我们如何打架?


简而言之,我们提供了一个隔离环境的独特形象。目标是重建一个尽可能类似于员工工作站的环境,使攻击者具有诱人的访问权限:财务部门,在开发过程中进行持续集成的构建服务器,Web服务器,域管理员的计算机,最后是CEO的工作站。

当然,对于这样的任务,您可以使用“内置”的适当软件来释放大量空白,但是随后您需要使用与特定组织相对应的特定数据来启动它们:域名,使用的资源或应用程序,工作文档的名称和内容-细微差别越多越好。有时需要对环境进行微调,直到系统更新版本和补丁为止。在最简单的情况下,可以简单地使图像“充满孔”。但是,如果您的IT基础结构园区不早于某些版本,则也可以考虑到这一点,并使用一定数量的漏洞消除了许多无关的渗透向量。

结果,我们得到了病毒编写者不知道的图像,而它们却是他们真正感兴趣的图像,从而大大增加了检测目标攻击的可能性。

为什么我需要模拟“实时”计算机的工作?


必须模拟用户操作,否则沙箱将失去其有效性。在某些情况下,缺少动作将导致检测到沙箱中的存在:例如,如果鼠标光标长时间不改变其位置,未出现新窗口,未终止应用程序或启动的次数太少,如果新文件未出现在临时目录中,则网络活动。在其他情况下,这将影响恶意软件本身的运行:例如,要运行该恶意软件,需要用户同意在Office文档中包含宏,否则该木马程序将显示一个中间对话框,在该对话框中,您必须同意某些内容(或某些内容)拒绝)继续工作。

有时仅需执行微不足道的操作:用户必须打开一些文档并写下一些内容,或者将密码复制到剪贴板中以进行进一步输入-恰恰在此刻间谍木马可以工作,它将拦截重要数据并将其发送到其作者的服务器。

我们如何做到这一点?


我们的解决方案正在逐步被模仿真实用户工作的新动作所补充。当然,任何复杂性的计划事件的预定义序列都无法与各种实际用途进行比较。我们将继续研究和改进产品的这一方面,以提高其有效性。

除了上述功能之外,还有一个基本功能值得一提:我们的沙箱属于无代理程序沙箱类。在大多数解决方案中,虚拟机内部有一个辅助代理,该代理负责管理系统状态,接收有趣的事件和工件并将其传输到主机服务器。尽管在监视方面具有优势,并且主机与来宾计算机之间的交互具有清晰的原理,但此解决方案仍存在一个重大缺点:需要隐藏和保护与代理相关的对象免受恶意软件的侵害。在没有事件提供程序的情况下,就会出现问题:那么,如何获取有关虚拟机内部正在发生的事情的信息?

为此,我们使用技术扩展页表(EPT)英特尔公司。它是位于来宾物理内存和主机物理内存之间的中间内存页面。简而言之,这使您可以执行以下操作:

  • 检查来宾计算机的内存页面的显示;
  • 突出显示有趣的部分(例如,包含核功能的地址或代码);
  • 标记选定的页面,以使对EPT中的内存页面的访问权限与对来宾计算机中的页面的访问权限不一致;
  • 吸引对内存标记部分的吸引力(这时将发生访问错误(#PF),因此来宾计算机将被挂起);
  • 分析状态,提取有关事件的必要信息;
  • 以正确的状态重新布局内存页面;
  • 还原来宾计算机。

监视发生的所有事情都是在隔离的机器之外进行的。内部的恶意软件无法检测到观察的事实。

在沙箱中运行样本并分析其行为只是复杂产品的组成部分之一。启动后,将扫描过程内存以查找恶意代码,并记录网络活动,然后使用5000多个检测规则进行分析。另外,可以解密安全交互。

在研究过程中能够识别的所有危害指标(IOC)均由信誉列表进行检查。在进行动态分析之前,样本将被发送以进行静态处理:样本已在几种防病毒软件上进行了预过滤,并由我们自己的引擎根据专家安全中心(PT Expert Security Center)专家的检测规则进行扫描我们使用了全面的检查,包括识别样本的元信息和嵌入的伪像中的异常。

PT Sandbox最擅长哪些任务?为什么?


PT Sandbox结合了多个团队和产品的知识和经验来应对有针对性的攻击。尽管可以以应对威胁(预防)的方式使用该产品,但该产品仍主要是监视(检测)IT系统安全性的一种手段。与经典端点保护解决方案的主要区别在于,PT Sandbox的任务是关注异常并记录以前未知的威胁。积极技术威胁技术研究小组高级专家Alexey Vishnyakov

发表

More articles:


All Articles