Jak malware stara się unikać piaskownicy - cykl artykułów
#1
[Obrazek: VM-and-Sandboxie-detection.png]

Piaskownica czyli wydzielone, kontrolowane i izolowane od reszty systemu/zasobów środowisko jest obecnie jednym z najczęściej stosowanych sposobów na analizowanie próbek szkodliwego oprogramowania, często i od lat stosowane jest również przez zwykłych użytkowników do uruchamiania podatnych aplikacji czy nieznanych/podejrzanych plików. Tego typu rozwiązania stosowane są od lat i u nas bardziej lub mniej szczegółowo omawiane, a spora część pewnie słyszała o Sandboxie, BuffeZone, GeSWall żeby wymienić te najbardziej od lat znane. Środowiska takie to też  przedsięwzięcia stricte analityczne i komercyjne jak np. Cuckoo Sandbox, z którego korzysta znany nam VoodooShield.

Autorem jednego z takich komercyjnych zaawansowanych środowisk analitycznych jest dr Carsten Willems, który stworzył i rozwija dalej ThreatAnalyzer znany kiedyś jako CWSandbox. Na swoim blogu we wrześniu 2016 rozpoczął serię artykułów, które chcę zaanonsować i choć są po angielsku, mam nadzieję, że lektura będzie interesująca i może przydatna nawet. Tytuł jest zbiorczy dla cyklu - "Sandbox evasion techniques" (w wolnym tłumaczeniu "Techniki unikania/omijania piaskownicy"), a cykl składa się z czterech części.
Pierwsza z nich wprowadza nas w zagadnienie czyli omawia z grubsza trzy podstawowe metody zachowania się szkodnika wobec piaskownicy, które najprościej można opisać tak:
- wykrywanie piaskownicy - szkodnik poszukuje specyficznych, drobnych różnic, którymi środowisko piaskownicy różni się od środowiska zwykłego systemu...jeśli napotka na coś podejrzanego zachowuje się dwojako: albo od razu automatycznie się wyłącza albo przechodzi w tryb "niepodejrzany" wykonując jakieś nieszkodliwe, "łagodne" akcje
- wykorzystywanie luk/dziur w piaskownicy - w tym przypadku szkodnik wyszukuje znane sobie podatności czy dziury w technologii piaskownicy lub jeśli to możliwe w otaczającym systemie...jako przykłady podano szkodniki wykorzystujące np. Microsoft COM, która to technologia nie jest poprawnie analizowana przez większość piaskownic oraz takie, które wykorzystują pliki z dziwnym/niejasnym rozszerzeniem lub o zbyt dużej wielkości, nieobsługiwanej przez piaskownicę
- działanie "kontekstowe" - szkodnik działa w "kontekście" czyli "kombinuje" zależnie od zastanej sytuacji...ani nie próbuje wykrywać piaskownicy, ani nie próbuje znaleźć w niej luki...ono wykorzystując czas samej analizy (zwykle to kilka minut) i będąc póki co nie wykrytym, próbuje znaleźć słaby punkt w innym miejscu próbując komunikować się z użytkownikiem, z innymi aplikacjami, próbując wykonania restartu systemu, podrzucając fałszywe instalatory.

Pierwsza część oraz trzy pozostałe, które są  pogłębioną analizą każdej z trzech wymienionych technik.

https://www.vmray.com/blog/sandbox-evasi...es-part-1/
https://www.vmray.com/blog/sandbox-evasi...es-part-2/
https://www.vmray.com/blog/sandbox-evasi...es-part-3/
https://www.vmray.com/blog/sandbox-evasi...es-part-4/
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości