Сендбокс — один из самых эффективных инструментов для анализа подозрительных объектов и выявления вредоносного поведения. В том или ином виде он реализован во множестве защитных решений. Но точность выявления угроз напрямую зависит от того, как именно он эмулирует среду, в которой запускается подозрительный объект.
Что такое сендбокс и как он работает
Сендбокс, он же «песочница», по сути, инструмент для создания изолированной среды, в которой изучается поведение подозрительных процессов. Обычно анализ происходит в виртуальной машине или контейнере, что позволяет исследовать потенциально вредоносный объект, не подвергая риску заражения или повреждения реальную рабочую систему и не рискуя утечкой важных корпоративных данных.
Например, сендбокс, составляющий часть платформы Kaspersky Anti Targeted Attack, работает следующим образом. Если один из компонентов нашего защитного решения выявляет опасный или подозрительный объект (файл или, скажем, URL), он передается на сканирование сендбоксу, вместе с характеристиками рабочей системы (версией ОС, списком установленных программ, параметрами окружения и так далее). Сендбокс запускает объект или переходит по адресу, записывая все артефакты:
- логи исполнения, включая вызовы системных API, работу с файлами, сетевые активности, URL и процессы, к которым объект обращался;
- снимки состояния системы и памяти (дампы);
- созданные (например, распакованные или загруженные) объекты;
- сетевой трафик.
После окончания выполнения сценария собранные артефакты анализируются и сканируются на наличие следов зловредной активности. Если таковые обнаруживаются, объект признается вредоносным, а выявленные техники, тактики и процедуры размечаются в соответствии с матрицей MITRE ATT&CK. Все полученные данные также сохраняются для дальнейшего анализа.
Сложности работы сендбокса
Главная проблема данной технологии заключается в том, что киберпреступники знают о существовании «песочниц» и постоянно совершенствуют методы обхода защиты этого типа. В первую очередь для такого обхода злоумышленники разрабатывают технологии обнаружения специфических признаков виртуальных сред. Они ищут какие-либо характерные артефакты или состояния или пытаются поймать виртуального пользователя на неестественном поведении. Обнаружив такие признаки или даже просто заподозрив их наличие, вредоносная программа меняет свое поведение.
В случае зловредов, используемых в целевых атаках, злоумышленники особенно тщательно анализируют конфигурацию операционной системы и набор программ, используемых на атакуемой машине. Вредоносная активность запускается только в случае полного соответствия ПО и системы ожиданиям. Она может происходить в строго определенные временные промежутки или срабатывать после некой последовательности действий пользователя.
Как повысить репрезентативность искусственной среды
Для сокрытия от потенциальной угрозы факта ее запуска в безопасной среде применяются комбинации различных подходов.
- Вариативность и рандомизация виртуальных окружений, создание нескольких образов с разными настройками и разными пакетами программ.
- Реалистичная имитация поведения пользователя.
- Сочетание статического и динамического анализов, мониторинг поведения системы на определенных временных дистанциях.
- Использование образов, максимально приближенных к реальным рабочим станциям из целевой среды, включая операционную систему и конфигурацию программ, плагинов, настроек безопасности и так далее.
Наш сендбокс, по сути, использует все вышеперечисленные техники. Недавно мы обновили нашу платформу для противодействия целевым атакам — Kaspersky Anti Targeted Attack. Теперь, в интегрированном сендбоксе появилась возможность использовать кастомные образы системы с выбором ОС (из списка совместимых) и возможность установки сторонних программ. Подробнее о платформе можно узнать на ее официальной странице KATA.