Песочницы анализируют поведение объекта во время его выполнения, что делает их эффективными против вредоносных программ, избегающих статического анализа. В то же время, по сравнению с другими схемами анализа поведения, песочница безопаснее, так как не рискует запустить подозрительный объект в реальной бизнес-инфраструктуре.
Песочница «Лаборатории Касперского»
«Лаборатории Касперского» разработала свою индивидуальную песочницу. В инфраструктуре это один из инструментов анализа вредоносных программ, исследования и создания антивирусных баз. Помимо отдельно стоящего решения песочница также является частью платформы Kaspersky Anti-Targeted Attack. Решение помогает оценивать файлы и URL-адреса по таким критериям, как вредоносные или неопасные и предоставляет информацию об их активности, которая полезна для создания правил и алгоритмов обнаружения.
Особенности песочницы
- Песочница основана на аппаратной виртуализации, что делает ее быстрой и стабильной.
- Виртуальные машины доступны для:
- ОС Android (x86, архитектура процессора ARM).
- Песочница контролирует взаимодействие исследуемого процесса с ОС. В подозрительных случаях песочница идет глубже.
- Песочница обеспечивает обнаружение эксплойтов, начиная с ранних фаз эксплуатации. Он обнаруживает типичное поведение эксплойта, такое как использование цепочки ROP , распыление кучи , поворот стека, изменения токенов безопасности, подозрительные изменения защиты памяти и другие. Песочница способна обнаруживать даже продвинутые эксплойты, используемые в целевых атаках.
Типы объектов, которые могут быть выполнены
- Windows: любые файлы, например: * .exe, * .dll, объекты .NET, файлы MS Office, PDF-файлы.
- Android: APK (DEX).
- URL-адреса: песочница переходит по URL-адресу и обнаруживает следующие события: загрузки, JavaScript, выполнение Adobe Flash и другие.
Этапы обнаружения вредоносных программ
- Песочница получает запрос на сканирование объекта (файла или URL-адреса) от другого компонента решения безопасности с инструкциями: ОС и конфигурация для запуска объекта, параметры выполнения объекта, другие сторонние приложения, установленные в ВМ, ограничение по времени тестирования и т. д.
- Тестируемый объект запускается.
- Песочница собирает артефакты в течение указанного промежутка времени. Если объект взаимодействует с другими процессами или URL-адресами с известной репутацией, песочница фиксирует это.
- «Песочница» анализирует артефакты и выносит вердикт запрашивающей системе: вредоносные или неопасные. Песочница добавляет данные объекта к вердикту (идентификатор, функции, журналы, подробности поведения), что может помочь в дальнейшем анализе без необходимости нового запроса в песочницу.
Артефакты, собранные песочницей
- Журналы выполнения приложения (вызовы функций API с их параметрами, события выполнения)
- Дамп памяти
- Дамп загруженных модулей
- Изменения в файловой системе, реестре
- Сетевой трафик (файлы PCAP)
- Скриншоты (для упрощения аудита и механического анализа, если необходимо)
- Артефакты эксплойтов
Предотвращение уклонения
Для современных вредоносных программ характерно пытаться обнаружить и уйти от песочницы. Как только программа узнает, что работает в песочнице, он может пропустить выполнение любой вредоносной деятельности, удалить себя с дисков, завершить работу или использовать другую технику уклонения.
Более простая конструкция аппаратного мониторинга изолированной среды (например, перехват функций API) оставила бы следы, которые указывают на то, что наблюдается подозрительный процесс. Итак, Kaspersky внедрили другие методы мониторинга, которые не являются навязчивыми и не оставляют видимых следов для сканируемого объекта. Песочница управляет процессором и оперативной памятью, но не изменяет работу процесса, память, системные библиотеки на диске и в памяти, не оставляя следов мониторинга.
«Лаборатории Касперского» также отслеживает новые методы уклонения и настраивает песочницу, чтобы противодействовать им, например:
| Уклонение A: среда песочницы типична для песочницы некоторых известных брендов. Вредоносная программа распознает его и уклоняется от обнаружения. | Противодействие уклонению A: Наша песочница рандомизирует среду виртуальной машины до ее запуска. |
| Уклонение B: вредоносная программа может обнаружить среду песочницы по причине отсутствия активности пользователя. Для запуска некоторых вредоносных программ пользователю необходимо ввести пароль из электронного письма, щелкнуть по мастеру или выполнить другие «человеческие» действия. Многие песочницы не эмулируют это и поэтому не видят детонацию вредоносного ПО. | Противодействие уклонению B: Наша песочница эмулирует действия пользователя: движения мыши, прокрутка документов, которые она открывает. Наша песочница также делает много вещей, которые пользователи делают, чтобы активировать вредоносные программы. |
Обнаружены атаки с помощью песочницы «Лаборатории Касперского»
Примеры новых волн целевых атак, обнаруженных с помощью песочниц в продуктах инфраструктуры Лаборатории Касперского в 2016-2017 гг .: Sofacy (октябрь 2017 г.), Zero.T (октябрь, ноябрь 2016 г., апрель 2017 г.), Enfal (сентябрь, октябрь, ноябрь 2016 г.), Freakyshelly (октябрь 2016 г.), NetTraveller (август 2016 г.), CobaltGoblin (август 2016 г.), Microcin (июнь 2016 г.) и другие.
