Roadmap
Какое ВПО можно обнаружить с помощью песочницы — Влияние Sandbox на бизнес-процессы компании — Как выбрать песочницу
Для чего нужны песочницы? Разве антивируса недостаточно для обнаружения угроз?
Антивирусы ищут вредоносные шаблоны в файлах и процессах (строки кода, фрагменты данных, скомпилированные последовательности и т. д.) и сопоставляют полученную информацию с базой данных. Это статический анализ: работает быстро, но такую защиту легко обойти.
Песочницы же используются для проверки файлов, ссылок и скриптов на вредоносность в изолированной среде. Важное преимущество Sandbox-решений заключается в комбинации статического и динамического (поведенческого) анализа. В рамках последнего мы отслеживаем поведение объекта в песочнице и фиксируем все, что происходит в ОС. На выходе получаем логи: что сделал конкретный файл за определенный период времени. На основании этих данных можно вынести достоверный вердикт: перед нами легитимный файл или вредонос.
Нет смысла тратить деньги на песочницу, если она работает на уровне антивируса. В Sandbox-решениях особенно важно развивать поведенческие детекты.
Какие виды вредоносов можно обнаружить с помощью песочниц?
Песочницы успешно ловят шифровальщики, ВПО для удаленного доступа, трояны, майнеры и даже шпионский софт. Например, кейлоггер Snake, вытягивающий информацию, которую пользователи вбивают на клавиатуре, или Agent Tesla, который регулярно делает скриншоты с ПК жертвы. Отмечу, что «обертки» вредоносов могут быть разными: PDF-файлы, пакеты установки в Linux, фишинговые ссылки в письмах и др.
Кроме того, песочницы часто отлавливают 0-day, но такие кейсы редко становятся публичными.
Мы опубликовали исследование, где в том числе рассказали о видах ВПО, которое обнаружили с помощью PT Sandbox (см. рис. 1)
Как часто песочницы обнаруживают новые виды вредоносов?
Основная задача песочниц — находить неизвестное ВПО, сигнатуры которого еще не знакомы производителям антивирусов. Мы регулярно находим не только новые виды ВПО, но и модифицированные вредоносы пятилетней давности, которые пропускают другие средства защиты. К примеру, в прошлом году мы обнаружили несколько интересных вредоносов от АРТ-группировки Lazarus: один из них завершает защитные процессы (в частности, для СЗИ McAfee), а другой отключает службу уведомлений Windows (по сути, вырубает защиту).
Для максимальной эффективности песочницу нужно интегрировать с другими СЗИ: EDR, межсетевыми экранами, NTA и т. д. Кроме того, ее можно использовать как инструмент расследования в режиме Threat Hunting для построения эшелонированной защиты.
Из каких этапов состоит процесс анализа файла в песочнице?
Доставка в песочницу. Это может быть ручная загрузка (drag-and-drop), API-коннекторы и т. д. — вариантов полно. Например, при использовании почтового агента он сам подключается к серверу и забирает подозрительное письмо с вложениями. А в случае с межсетевыми экранами можно использовать протокол ICAP, который позволяет извлекать файлы из трафика.
Статический анализ. Проводится с помощью антивирусных движков. К примеру, в PT Sandbox используются: российский NANO, белорусский VBA 32, правила, разработанные PT ESC, и даже Open Source.
Анализ содержимого ссылок проводится с помощью инструмента PT Crawler, а категоризация — благодаря PT Categorizer. Кроме того, PT IoC проводит репутационный анализ файлов и ссылок по базе индикаторов компрометации.
Поведенческий анализ. Песочница фиксирует и классифицирует поведение файла. Изучение поведения файла происходит в изолированной виртуальной среде, при этом система использует приманки (ловушки), которые заставляют ВПО себя выдать. В общем, все как на страшном суде: на чашах весов оказываются грехи и добрые дела, а затем выносится вердикт :) Чтобы он был справедливым, важно регулярно обновлять экспертные правила.
Формирование отчета. Он состоит из двух частей. Первая — классический светофор с оценкой файла (вредоносный, подозрительный или безопасный). Вторая — полный лог поведения файла (древо процесса): куда и зачем он обращался, сколько времени на что потратил и т. д. Плюсом идет видеозапись происходящего на рабочей станции.
Сколько времени нужно песочнице для анализа?
Пара минут: меньше не получится, иначе вердикт будет недостоверным. Однако все зависит от специфики бизнес-процессов компании, должностных обязанностей сотрудников, SLA и т. д. Например, для клиентского менеджера в банке даже 30 секунд — слишком долго, поэтому песочницы могут работать в разных режимах.
Режим мониторинга. Файлы не задерживаются и сразу летят к пользователям, а песочница параллельно их анализирует. На бизнес-процессы этот режим не влияет: если менеджер должен получить письмо за N секунд, он его получит. Но возможно, однажды к нему придет безопасник и заберет рабочую станцию на проверку и очистку.
Режим блокировки. В этом случае в песочнице ставится разрыв почтового трафика: все файлы и письма задерживаются до окончания проверки. В случае обнаружения ВПО письмо доставляется частично либо вообще остается в карантине, а пользователь получает соответствующее оповещение.
Режим исследования. Песочницу можно использовать для анализа объектов, в том числе загружая их вручную, с предоставлением всех необходимых артефактов.
Кроме того, практически во всех песочницах заложена возможность настройки индивидуальных параметров проверки. В зависимости от расширений и адреса назначения файлам можно задавать определенный маршрут и таймаут проверки.
Существуют ли способы обхода песочниц?
Злоумышленники постоянно над ними работают. Яркий пример — вредоносы с отложенным запуском: они начинают действовать не сразу, а спустя определенное время, чтобы не выдать себя при проверке в песочнице. Но мы знаем, как сильно хакеры любят временные ловушки, и внедряем в свои продукты ответные меры защиты. Так, в PT Sandbox есть интерактивный режим, который позволяет проводить ручной анализ объектов с возможностью прокрутки времени. Условно говоря, время в песочнице как бы начинает идти быстрее, и вредонос выдает себя. Однако неосторожное применение подобных техник может выдать саму песочницу: если вредонос поймет, что находится в изолированной среде, он вообще не запустится. Здесь важно соблюдать баланс.
Отмечу, что песочницы по аналогии с DLP-системами должны считывать любую подозрительную активность. Документ Microsoft Office с таймером запуска или PDF, который запрашивает права локального администратора, — это априори странно. Для каждого файла песочница составляет досье, где из разрозненных подозрительных действий складывается общая картина и выносится вердикт.
Любой злоумышленник — от студента-новичка до участника именитой АРТ-группировки — понимает, что наверняка столкнется с песочницей во время атаки, поэтому учится ее обходить.
Применяются ли в песочницах ML-технологии?
ИБ-эксперты постоянно изучают вредоносы и пишут сигнатуры, по которым песочницы детектируют ВПО. Вроде бы все отлично, но, как в том анекдоте, есть нюанс :) А что, если правило еще не написано или злоумышленники радикально изменили изначальный вредонос? Есть два выхода: смягчать критерии сработки или писать еще больше правил (условно говоря, для каждого вредоноса — свое). В первом случае мы получим тонну ложных срабатываний, а во втором придется обновлять правила чуть ли не каждый час.
Благодаря машинному обучению мы можем выйти из этого тупика. ML-механизмы помогают искать в поведении файлов закономерности, характерные для определенных семейств вредоносов, а также выявлять аномальное поведение. Анализируя данные об активности ВПО, модели могут самостоятельно принимать решения и выявлять вредоносы, обогащая разработанные ИБ-экспертами правила.
Почта, офисные пакеты, межсетевые экраны, NTA, файловые хранилища — песочница должна уметь ко всему этому подключаться.
Как выбрать песочницу?
Песочницы делятся на работающие, сертифицированные и дешевые :) А если серьезно, есть три фактора, которые стоит учитывать при выборе решения.
Качество детектирования ВПО. На него влияют и глубина поведенческого анализа, и возможности уклонения от обхода, и экспертиза самого вендора. Важный момент — частота обновления продукта. Новые вредоносы появляются постоянно, а значит, и правила детектирования должны обновляться регулярно. К примеру, в PT Sandbox данные о новых вредоносах поступают за 2,5 часа. Спасибо центру PT ESC за это :)
Производительность. Многие вендоры сознательно жертвуют глубиной анализа, чтобы поднять производительность системы до десятков тысяч файлов в час. Важно соблюдать баланс между производительностью и достоверностью вердиктов, иначе есть риск получить быстрый, но неэффективный продукт.
Интеграция с максимально возможным количеством источников. Почта, офисные пакеты, межсетевые экраны, NTA, файловые хранилища — песочница должна уметь ко всему этому подключаться.
