Вирус, посиди в «песочнице»! Как работает Sandbox и от чего зависит эффективность этого класса решений

[BOOX]

Разработчики вредоносных программ часто меняют конфигурацию своих вирусов, чтобы пройти сигнатурный анализ антивируса.


В таких случаях на помощь приходит поведенческий анализ, за который отвечает отдельный класс решений – Sandbox.
В этой статье разбираемся, что такое «Песочница», как вредоносы пытаются обойти этот класс решений и какие ошибки в настройке могут снизить эффективность Sandbox.

Что такое песочница и от чего защищает​

Sandbox или «Песочница» — виртуальная специально изолированная среда для безопасного запуска программ. Если защитные решения проверили файл по базе сигнатур и не обнаружили совпадений, то они запускают его в выделенной среде — «песочнице», чтобы посмотреть, как он будет себя вести. При обнаружении подозрительных действий файл блокируется, а его действия запрещаются. Если своеобразный «карантин» пройден успешно и защита не нашла опасности, то файл попадает в основную систему.

«Песочница» эффективна при обеспечении защиты от угроз нулевого дня. Стоит отметить, что Sandbox — это не первичный инструмент безопасности, а часть уже более зрелой, эшелонированированной защиты, она дополняет другие программы безопасности, в том числе мониторинг поведения и антивирусы. Несмотря на то, что обычные email-фильтры могут сканировать электронную почту для обнаружения вредоносных отправителей, типов файлов и URL-адресов, угрозы нулевого дня возникают постоянно, и традиционная фильтрация может их пропустить. С помощью поведенческого анализа «песочница» обнаружит более современные вредоносные ПО, которые могут обойти антивирусные системы, так как не содержат характерных последовательностей-сигнатур.

В песочнице используются виртуальные машины, имитирующие работу пользователя. Они, например, воспроизводят передвижение мышки, сетевую активность, представляют различное ПО, системные файлы, которые могут храниться у обычного пользователя. Вот на эту работу и «смотрит» вредоносное ПО (ВПО). Возьмем ситуацию: на электронную почту пришло письмо с ВПО, песочница отправила его на проверку в виртуальную среду. Попав в виртуальную среду, вредонос может наблюдать за передвижением мышки, смотреть на файлы, которые виртуализация добавляет в системные папки ОС, проверять название сетевых адаптеров, запущенных процессов. И если ВПО обнаружит что-то, связанное с виртуальной средой, то оно может не проявить себя. После проверки письмо не будет заблокировано и уйдет к пользователю. Поэтому производители стараются маскировать свои виртуальные среды и наполнять их ловушками, на которые сработает ВПО.

Sandbox эмулирует реальное физическое устройство, в том числе включая ЦП, память и хранилище. Однако, киберпреступники находят способы обмануть и этот инструмент защиты, разрабатывая все более сложные ПО. Попадая в «песочницу», такие программы способны самостоятельно анализировать среду и отличить ее от настоящего устройства.

Современное вредоносное ПО устроено довольно сложно и содержит специальные техники для обхода песочниц. Сам вредоносный исполняемый код может даже не запускаться до момента, когда ПО не откажется за пределами контролируемой зоны. Во-первых, такое ПО может оценивать характеристики системы, на которой оно запущено – проверять наличие установленных программ, количество ядер процессора и памяти, цифровые подписи и т.п. Во-вторых, можно оценивать работают ли с системой пользователи. Если вредоносное ПО запущено в песочнице, то никаких пользовательских действий там не будет, а значит запускать вредоносный код еще не время. В конце концов вредоносное ПО может не активироваться в течение весьма продолжительного времени.

«Песочница» может быть по-разному изолирована от общей системы: на основе полной виртуализации, частичной виртуализации файловой системы и реестра, на основе политик.

Для полной виртуализации необходима любая виртуальная машина с установленной ОС. Это самый безопасный вариант «песочницы», но такой подход требует большого количества ресурсов и затрудняет обмен между Sandbox и основной системой. Кроме этого, необходимо регулярно удалять заражения из песочницы, что занимает дополнительное время. Из-за необходимости процессорных мощностей и дискового пространства «песочницы» на основе полной виртуализации ощутимо замедляют работу основной системы.

Современные вирусы пытаются определить тот факт, что их исследуют по косвенным признакам, например, есть множество способов определить, запущен ли процесс в виртуальной среде (песочница создаёт её для исследования вируса). Но, во-первых, песочницы скрывают этот факт, выдавая неправильные данные об окружении, во-вторых, виртуальное окружение не всегда может быть песочницей, но и самым обычным виртуальным сервером. Этот факт сильно осложняет вирусам задачу. Есть и другие признаки, например, при направленной атаке вредоносный процесс может проверять такие характеристики как домен, адрес, набор ПО и всё окружение, чтобы удостовериться, что он находится именно на сервере компании-цели, при этом в других организациях зловред не будет выполнять вредоносные действия, чтобы не быть обнаруженным. Интересным способом является откладывание вредоносных действий во времени, но песочницы в ответ умеют «ускорять» время на виртуальной машине, либо проматывать его.

Для частичной виртуализации достаточно использовать дубликаты объектов файловой системы и реестра. Вредоносные файлы смогут изменять только дубликаты внутри «песочницы», никак не влияя на оригиналы в основной системе. Эта модель требует меньше ресурсов, но может быть обманута более продвинутыми зловредами. Как и при полной виртуализации при таком подходе затруднен обмен между основной системой и Sandbox, и требуется постоянная чистка для возвращения к первоначальному виду.

«Песочницы» на основе политик устроены так, что обмен данными с реальной системой максимально упрощен. Все попытки изменения файловой системы рассматриваются защитным механизмом с точки зрения правил, установленных заранее. Чем точнее прописаны правила, тем выше безопасность «песочницы». Возвращение к начальному состоянию в такой модели не требуется, но и лишь частичная очистка невозможна.

Более корректно обсуждать, как вирусы пытаются избежать первичного обнаружения. Если это относительно «простой» вирус, то «песочница» его перехватит в моменте, но если вирус готовился целенаправленно с учетом особенностей инфраструктуры, тогда могут применяться средства уклонения от первичного обнаружения, такие как:

1. Отложенный запуск под определенную дату
2. Запуск только в операционных системах с разрядностью x64 или x86
3. Запуск только с наличием английского языка системы или русского
4. Малое количество выделенных ресурсов для ВМ
5. Разрешение экрана – слишком низкое для работы сотрудника
6. Анализ реестра и его размер
7. Анализ количества запущенных процессов, малое количество — это признак облегченной ОС
8. Наличие агента «песочницы», некоторые «песочницы» используют клиент-серверную архитектуру для загрузки файлов.
9. Вероятность переименования файла самой «песочницей» перед отправкой на анализ.

Суммарно получается, чем больше перечисленных методов используется в подготовке вредоноса, тем больше у него шансов остаться в спящем режиме и избежать обнаружения с последующим доступом в инфраструктуру.

Вирусам удается пройти проверку и сбежать из песочницы по разным причинам. Например, если инструмент давно не обновлялся, установлен из коробки и не настроен или настроен с ошибками.

В случае, если они там никак себя не проявили. Допустим, такой файл пришел в выходные, а запускаться настроен в рабочие дни или, к примеру, реагирует на длительный запуск софта, если, допустим, у пользователя программа 1С открыта продолжительное время. Поэтому к обеспечению информационной безопасности подходят комплексно, с учетом того, что использование в совокупности различных средств защиты будет наиболее эффективно, а именно: применяют антивирусы на рабочих станциях и на шлюзах, продвинутые EDR-технологии, SIEM и т.д. При этом используется лицензионное ПО отечественных производителей, все СЗИ вовремя обновляются.

Sandbox может работать в режиме постоянной защиты, и автоматически запускать все подозрительные процессы, которые несут потенциальную угрозу. Или в режиме ручной защиты. В этом случае пользователь сам запускает файл в изолированной среде для проверки. ИБ-специалисты, которые работают с «песочницей» могут запускать не только вредоносное ПО, но и непроверенный код из разных источников, и оценивать его на основе деятельности.

Внедрение песочницы в корпоративной среде​

При выборе Sandbox в первую очередь необходимо определить цель ее использования, потребности и возможности компании.

Компания может самостоятельно закупить и установить решение локально. В таком случае трафик не выйдет за пределы организации, а аппаратные средства будут полностью под контролем ИБ-отдела. Однако масштабирование такого решения ограничено ресурсами сервера.

Если в компании нет необходимых для обслуживания «песочницы» ресурсов: ИБ-специалистов, процессорных мощностей, то можно выбрать сервисную модель «по подписке». Надежный поставщик сможет гарантировать точную настройку и своевременное обновление «песочницы» для более эффективной защиты от киберугроз.

Выбор зависит напрямую от потребностей и задач. Нельзя выделить верное или неверное решение. Локальные песочницы являются достаточно ресурсоемкими решениями и требуют выделение достаточно мощного сервера (предпочтительно физического, во избежание гостевой виртуализации). Но при этом локальная песочница, как правило, дает несколько больше инструментов управления и кастомизации образов. Плюс к этому локальное решение менее зависимо от стабильности канала Интернет. Облачная песочница же позволяет избежать необходимости выделения дорогого серверного оборудования, но при этом требовательна к каналам связи. При временном отсутствии доступа в интернет, она окажется также временно не работоспособна.

«Песочницы» — это не только эффективный способ защиты веб-трафика от различных атак или метод тестирования, но и ценный инструмент для решения ряда других важных задач. Например, таких как, интеграция проектов. Интеграция более чем одной сборки или аспектов проекта может оказаться непростой задачей. Однако с помощью песочницы можно проверить совместимость, чтобы убедиться, что решение разрабатывается должным образом.

Критериев, которые необходимо учитывать при выборе конкретного решения, достаточно много и рассматривать их стоит индивидуально под имеющуюся инфраструктуру и поставленные задачи. Решение класса Sandbox должно органично и эффективно дополнять существующую систему безопасности организации. Именно поэтому особое внимание нужно уделить следующим пунктам:

• возможность интеграции со смежными системами защиты информации;
• перечень поддерживаемых операционных систем;
• гибкая настройка виртуальных машин, максимально имитировать целевые хосты;
• наличие уникальных технологий обнаружения атак нулевого дня, регулярных обновлений компонентов;
• скорость обработки потенциальных ВПО и общая производительность системы;
• понятный и доступный пользовательский интерфейс и обширная база знаний для оператора системы.

Технологию Sandbox встраивают в свои продукты многие разработчики антивирусов. Например, Comodo Internet Security, компания Avast, «Лаборатория Касперского» и другие. «Песочницы» используют и другие компании, например Google в своем браузере.

Заключение​

Sandbox — эффективный инструмент для защиты почты и веб-трафика от угроз. Он позволяет безопасно исполнять программы на компьютере, развертывать неизвестный код для обнаружения закладок и вирусов. Технология «песочницы» стала мощным решением в мире технологий и разработки, удовлетворяющим критически важные потребности в безопасности, тестировании и инновациях.

Но «песочница» – это только один из элементов обороны компании, который наиболее эффективно работает в комплексе с другими решениями. Например, в связке с антивирусом, межсетевыми экранами и решениями для защиты почты.

Для просмотра ссылки необходимо нажать Вход или Регистрация