+7 (862) 55-55-911
+7 (862) 555-00-55
Современные услуги связи в городе Сочи
Личный кабинет Личный кабинет Телеграм-канал

Как песок сквозь пальцы: могут ли вредоносы обойти Sandbox и как они это делают

Содержание:

  1. Как это работает
  2. Можно ли обойти Sandbox
  3. Как бороться с техниками обхода
  4. Выводы

В данной статье мы обсудим методы, используемые злоумышленниками для обхода песочниц, а также аналитические подходы, позволяющие распознавать даже наиболее изощренные способы скрытия угроз.

В современных реалиях стандартных инструментов безопасности, включая антивирусные программы, системы обнаружения вторжений, антиспам-решения и межсетевые экраны, уже недостаточно для обеспечения эффективной защиты информационной безопасности организаций. Компании сталкиваются с растущей сложностью киберугроз: неизвестными вирусами, программами-вымогателями и эксплойтами нулевого дня. Для борьбы с такими угрозами был создан класс решений, известный как Sandbox («Песочница»), представляющий собой виртуальное пространство, где анализируется поведение файла после его запуска для определения его вредоносности.

Однако киберпреступники разрабатывают методы, чтобы избежать попадания в такие ловушки и скрыть присутствие вредоносного ПО. В нашей статье мы рассмотрим техники, которые злоумышленники используют для обхода систем типа песочниц, а также аналитические методы, позволяющие обнаруживать даже самые изощренные методы маскировки.

Как это работает?

Песочница должна быть встроена в поток трафика для эффективного блокирования угроз. Если этого не происходит, такое решение сводится к базовому обнаружению угроз, когда копии файлов отправляются в систему, но угроза может успеть достигнуть своей цели. Поэтому для эффективного анализа почтового и веб-трафика необходимо включать песочницу непосредственно в поток данных, а веб-трафик следует проверять полностью, в том числе и SSL-трафик.

Современные песочницы обрабатывают большой объем данных из динамического анализа и передают их для детальной оценки специалистами или другим системам информационной безопасности организации. Это требует высокоскоростной проверки файлов и надежности решения. Разные производители предлагают различные функции анализа в песочницах, включая следующие типы:

  1. Сигнатурный анализ: проверка файла на соответствие известным характеристикам, например, хешу. Важно иметь обширную базу актуальных вредоносных сигнатур для блокирования известных угроз и экономии времени.

  2. Статический анализ: исследование характеристик файла без его запуска, включая определение атрибутов, паттернов и потенциально опасного содержимого. Этот анализ может занимать лишь доли секунды.

  3. Динамический анализ: отслеживание активности файла, включая изменения в файловой системе, реестре, системных вызовах и другие признаки подозрительной активности.

  4. Анализ сетевого трафика: мониторинг сетевого трафика для выявления и предотвращения загрузки нежелательных объектов, а также блокировка распространения вредоносного ПО.

  5. Поведенческий анализ: сочетание статического и динамического анализов для выявления паттернов вредоносного поведения, часто с использованием алгоритмов машинного обучения для анализа больших объемов данных.

Можно ли обойти Sandbox?

Развитие технологий песочниц ведет к усовершенствованию методов их обхода, направленных на скрытие вредоносной деятельности во время эмуляции файла. Далее приведены наиболее распространенные методы обхода:

  1. Проверка наличия файлов: Вредоносное ПО ищет определенные файлы и директории, указывающие на виртуальную среду, например, наличие файла «vmxnet.sys» в VMware.

  2. Проверка реестра: Злоумышленники ищут ключи и значения, характерные для виртуальной среды, например, наличие "vm" в реестре VMware.

  3. Анализ окружения ОС: Проверяется название пользователя и компьютера, размер ОЗУ, жесткого диска, разрешение экрана, количество процессоров, время работы ОС, что помогает выявить виртуальную машину.

  4. Дополнительные объекты ОС: Изучается наличие устройств, характерных для виртуальной среды, например, в VirtualBox.

  5. Проверка привилегированного доступа к системным процессам: Вредонос пытается получить полный доступ и завершить критические процессы, что в виртуальной среде приводит к перезагрузке и обнаружению виртуализации.

  6. Анализ сетевых параметров: Проверяются MAC-адреса и наименования сетевых адаптеров для выявления виртуальной машины.

  7. Проверка на уровне процессора: Исследуется Vendor ID и другая информация о процессоре, которая обычно не изменяется в виртуальной среде.

  8. Анализ аппаратного окружения: Проверяется Vendor ID жесткого диска и другие параметры для выявления изолированной среды.

  9. Манипуляции со временем и датами: Вредоносные программы могут оставаться неактивными в течение эмуляции, активируясь после перезагрузки или в определенное время.

  10. Отслеживание действий пользователя: ВПО анализирует историю браузера, установленное ПО, документы и движения мыши для определения, работает ли с файлом человек или программа.

Также злоумышленники используют сложные техники, связанные с интерфейсом, для определения, взаимодействует ли с файлом человек или автоматическая система.

Как бороться с техниками обхода?

Наличие функционала для обнаружения попыток обхода (Anti-Evasion) является критически важным для эффективности современных песочниц. Многие из описанных выше методов обхода широко доступны в открытых источниках и могут быть использованы даже начинающими хакерами. Однако, эти методы часто ориентированы на базовые бесплатные песочницы, которые не способны обеспечить полноценную защиту инфраструктуры, не говоря уже о более сложных техниках.

В связи с этим, для надежной защиты организации необходимо выбирать продвинутое решение от известного производителя, который регулярно обновляет свои продукты в соответствии с изменениями в кибербезопасности. Это требует команды квалифицированных разработчиков и специалистов, поддерживающих работу песочницы.

Также компании стоит рассмотреть не только выбор производителя, но и способ реализации песочницы: через сервис-провайдера или в собственной инфраструктуре. При самостоятельной покупке и обслуживании необходимо учитывать как капитальные, так и операционные расходы. В модели сервис-провайдера инфраструктура песочницы размещается в дата-центре, и специалисты провайдера берут на себя настройку и поддержку решения, что является более экономичным вариантом, так как позволяет снизить капитальные расходы и избежать затрат на персонал и оборудование. О преимуществах экономии в рамках сервисной модели мы рассказывали в другой статье.

Выводы

Песочница обеспечивает защиту организации от сложных киберугроз, целенаправленных атак, неизвестных уязвимостей и вредоносного ПО. Это решение должно объединять различные методы анализа трафика для более эффективного обнаружения вредоносных файлов. Важно, чтобы система постоянно обновлялась и улучшалась, поскольку киберпреступники продолжают разрабатывать новые способы обхода песочниц и методы обнаружения виртуальных сред.

Вернуться к списку статей
Поделиться:

Комментарии

Добавить комментарий

Оценка

Категории

Windows
Android
iPhone, iPad и Mac
Программы
Wi-Fi и настройка роутера
Интернет и браузеры
Безопасность

Читайте также:

ERR INTERNET DISCONNECTED в Windows и на Android, в Chrome и Edge
ERR INTERNET DISCONNECTED в Windows и на Android, в Chrome и Edge
Читать далее
Как скачать все фото из Google Photo
Как скачать все фото из Google Photo
Читать далее

Мы используем файлы cookie. Продолжая использовать этот сайт, вы соглашаетесь с использованием файлов cookie в соответствии с нашей Политикой конфиденциальности.

Заявка на франшизу
Продать сеть
Рассчитать стоимость
У вас появились вопросы?