Бесплатно Экспресс-аудит сайта:

18.10.2022

Positive Technologies обнаружила ВПО, заточенное под обход PT Sandbox

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) впервые выявили вредоносное ПО, которое при проверке, где оно запускается — в виртуальной среде или на реальном компьютере пользователя, было настроено на распознавание старых версий песочницы PT Sandbox .

Песочницу PT Sandbox используют компании государственного сектора, кредитно-финансовой сферы, промышленности. В структуре продаж Positive Technologies песочница PT Sandbox демонстрирует высокие темпы роста: по итогам первого полугодия 2022 года они выросли на 22% в сравнении с аналогичным периодом предыдущего года.

В начале октября 2022 года специалисты отдела обнаружения вредоносного ПО PT Expert Security Center в ходе ежедневного мониторинга киберугроз встретили файл с актуальным названием Povestka_26-09-2022.wsf. Исследуя его, эксперты выяснили, что образец представляет собой WSF-файл с обфусцированным кодом на JavaScript. Его задача — провести проверки на наличие виртуальных машин, песочниц, а также антивирусных программ и в случае их отсутствия запустить основную полезную нагрузку. Если зловред пропустят установленные в компании средства защиты, злоумышленники получат начальную точку закрепления в инфраструктуре и смогут развить атаку внутри инфраструктуры организации.

Атакующим важно понимать, что они получили доступ к реальной рабочей станции в инфраструктуре компании, а не к изолированной виртуальной среде, предназначенной для анализа поведения исполняемых файлов. Для этого во вредоносное ПО встраивают функции обнаружения и обхода средств защиты и виртуализации. По данным Positive Technologies , чаще всего для выявления сетевых песочниц злоумышленники отправляют WMI-запросы (25% ВПО) либо реализуют иные проверки окружения (33%), а также проверяют список запущенных процессов (19%). Изученная специалистами компании вредоносная программа имеет интересный способ обнаружения виртуальных сред, заточенный конкретно под PT Sandbox .

«Это первый известный нам случай попытки уклонения вредоносного ПО от обнаружения PT Sandbox. Зловред ищет специальную папку, которая, по мнению злоумышленников, может косвенно указать на факт выполнения в среде нашей песочницы. Если результат проверки будет положительным, образец завершит работу. Такой сценарий был возможен лишь для старых версий PT Sandbox и сегодня уже не актуален, — комментирует Александр Тюков, специалист отдела обнаружения ВПО PT Expert Security Center. — PT Sandbox умеет хорошо скрывать свое присутствие, чтобы не дать зловредам преждевременно прекратить свою работу и позволить песочнице собрать как можно больше информации для реагирования на киберугрозу и последующего расследования».

PT Sandbox поддерживает гибкую настройку виртуальных сред с учетом особенностей реальных рабочих станций и учитывает техники обхода песочниц: с каждым релизом продукт пополняется новыми механизмами, позволяющими выявлять среди прочего и проводимую вредоносным ПО разведку. Так, например, PT Sandbox поддерживает технологии обмана (deception-технологии) , направленные на создание ловушек для вредоносов. Приманки, имитирующие в виртуальной среде настоящие файлы, процессы или данные, провоцируют вредоносные программы на активные действия и тем самым помогают раскрыть присутствие злоумышленников.