Как вредоносное ПО уклоняется от песочницы?

Cloud Networks • Аналитика • Как вредоносное ПО уклоняется от песочницы?
23.06.2022

Как вредоносное ПО уклоняется от песочницы?

Современное вредоносное ПО ведет себя очень «тихо», когда попадает в сеть. ВПО применяет ряд методов уклонения, чтобы остаться незамеченным инструментами кибербезопасности.

Методы уклонения стали важной частью вредоносного ПО, поэтому важно знать об эффективных мерах противодействия. В этой статье раскроем наиболее широко используемый метод уклонения — обход песочницы.

 

Что такое песочницы и почему вредоносное ПО использует против них методы обхода?

Песочница — изолированная и контролируемая виртуальная среда, используемая для тестирования и анализа подозрительных входящих файлов, которые потенциально могут быть вредоносными. После проверки файлов те допускаются в сеть.

Песочница имитирует системы, работающие в производственной среде, чтобы заставить вредоносное ПО выполняться, как обычно. Таким образом, их можно анализировать без воздействия вредоносного ПО на реальную производственную среду.

Разработчики вредоносных программ оснащают свои программы функциями, позволяющие им идентифицировать, что они находятся в песочнице, и обойти виртуальные среды, чтобы сработать только после допущения в сеть.

 

Типичные методы уклонения от песочницы

Оценка окружающей среды:

Сначала вредоносное ПО определяет, находится ли оно в виртуальной среде с помощью следующих системных запросов:

  • Реестр. Если в реестре отображается необычно низкое количество установленных приложений, это может свидетельствовать о среде песочницы.
  • Имя хоста. Некоторые песочницы используют определенные имена хостов или включают в имена хостов определенные символы.
  • Количество запущенных процессов. Необычно низкое количество запущенных процессов может свидетельствовать о среде песочницы.
  • USB-накопители и принтеры. Наличие периферийных устройств обычно указывает на реальную производственную среду.
  • Размер жесткого диска. Обычные машины имеют размер жесткого диска более 100 ГБ. Аномально маленький размер диска может свидетельствовать о песочнице.
  • Разрешение экрана. Очень маловероятно, что сегодня кто-то будет работать с очень низким разрешением экрана (например, 800×600).
  • Количество процессоров. Только виртуальные машины сейчас работают на однопроцессорных компьютерах.
  • Размер ОЗУ. Маленький размер ОЗУ (например, 1 ГБ) может свидетельствовать о песочнице.
  • Агент песочницы. Некоторые песочницы основаны на агентах.
  • Malware.exe. Для простоты и удобства многие песочницы меняют имя проверяемого файла на что-то вроде «maleware.exe». Многие вредоносные программы проверяют наличие файлов malware.exe в качестве признака их присутствия в песочнице.

Если результат этих проверок указывает на наличие песочницы, вредоносное ПО просто не будет выполняться и будет ждать, пока оно не пройдет песочницу, чтобы запуститься в сети.

Обнаружение взаимодействия с пользователем:

Реальные производственные среды обычно характеризуются взаимодействием с пользователем, таким как щелчки мышью, движения мыши, нажатия клавиш, прокрутка документа и т. д.

Некоторые среды-песочницы эмулируют взаимодействие с пользователем, чтобы выглядеть как реальные производственные среды. Однако, некоторые вредоносные программы достаточно умны, чтобы отличить моделируемое поведение от реального взаимодействия с пользователем.

Если вредоносная программа не обнаруживает никакого взаимодействия с пользователем или идентифицирует взаимодействия с пользователем как сгенерированные машиной (имитирующие взаимодействие), она не будет выполняться.

Уклонение от времени:

Большинство песочниц не будут хранить файл бесконечно, так как это может повлиять на производительность, если рассматриваемый файл является частью бизнес-процесса. Кроме того, песочницы ресурсоемки.

Вредоносное ПО просто будет бездействовать и ожидать выполнения определенных действий, таких как перезагрузка или вход в систему. Поскольку эти действия не выполняются в изолированных средах, вредоносное ПО понимает, что оно в сети и активируется.

 

Как Minerva использует эти методы уклонения от вредоносного ПО?

Система имитации агрессивной среды (HES) Minerva представляет собой слой между ОС и процессами, который полностью контролирует, как процессы воспринимают свою среду. С помощью HES уклонение вредоносного ПО оборачивается против него самого, убеждая его в вечном «нахождении» в песочнице, из-за чего оно никогда не развертывается.

Многие вредоносные программы проверяют наличие файла malware.exe. В обычной системе запрос этого файла приведет к ответу системы «файл не найден», так как у большинства нормальных людей нет файлов malware.exe на ПК.

malwareexe cmd not found

Рисунок 1. Обычная система не может найти файл malware.exe.

 

Однако при включенной Minerva при запросе файла malware.exe платформа перехватывает запрос и отображает запрашивающему воображаемый вредоносный файл.exe. На самом деле такого файла не существует, но Minerva симулирует существование процесса, даже если файла на самом деле нет.

Как вредоносное ПО уклоняется от песочницы? - 1

Рисунок 2. Minerva имитирует существование файла malware.exe.

 

Всякий раз, когда Minerva перехватывает технику уклонения, на приборной панели платформы записывается предупреждение и событие, которые впоследствии можно проанализировать. Это дает представление о произошедших атаках, даже если они уже были предотвращены на самой ранней стадии.

Как вредоносное ПО уклоняется от песочницы? - 2

Рис. 3. Предупреждение панели управления для артефакта песочницы.

Как вредоносное ПО уклоняется от песочницы? - 3

Существует еще много техник уклонения, от которых защищает Minerva. Если вы хотите опробовать данное решение для защиты своей компании, оставьте заявку на бесплатный пилот:




     

    Оригинал статьи.

    Мы не передадим ваши данные третьим лицам и не будем донимать спамом
    to-top