Прятки в песочнице: о возможностях Dr.Web vxCube

Кухня

добавить в избранное

Прятки в песочнице: о возможностях Dr.Web vxCube

Прочитали: 13634 Комментариев: 33 Рейтинг: 62

11 декабря 2020

Песочница зачастую считается панацеей при защите от вредоносных программ. Предполагается, что запущенное в песочнице ПО проявит свои вредоносные функции, таким образом выдав свою сущность. Вполне логично, что разработчики вредоносных программ об этом знают и стремятся избежать раскрытия истинного предназначения своих изделий при запуске в песочнице. Также вирусописатели предполагают, что если кто-то будет их программы исследовать, то запускать их станут на виртуальных машинах.

В обоих случаях, если вирусописатели не хотят, чтобы вредоносные действия программы при запуске были выявлены, им нужно понимать, что их ПО запущено в изолированном окружении. Интересно, что, зная об этом, некоторые пользователи на обычном ПК производят манипуляции, чтобы для вредоносных программ компьютер выглядел виртуальным. Если кто помнит - это, по сути, старое ламповое вакцинирование. В 90-е годы прошлого века существовали не только первые антивирусы, но и так называемые программы-вакцины, имитирующие заражение файла с тем, чтобы вирусы, проверив его, не стали его заражать. Может ли такой фокус стать заменой антивирусу? Конечно, нет – далеко не все вредоносные программы имеют функционал проверки запуска в виртуальной машине. Почему? Хотя бы потому, что в компаниях серверы зачастую развёртывают именно на виртуальных машинах. Да и удаленным пользователям часто рекомендуется работать с офисными сервисами именно с виртуальной машины.

Как можно определить, что программа запущена в виртуальной машине? В случае реальных ПК используется самое различное оборудование – например, жесткие диски от разных производителей, самые разные видеокарты и сетевое оборудование, различные версии BIOS. В случае машин виртуальных оборудование однообразно. И, соответственно, узнав, на каком оборудовании запущена операционная система, можно сделать определенные выводы.

Операционные системы на виртуальных машинах могут иметь специфические сервисы, установленные драйверы и программы (например, в случае VMware – VMware Tools). Ну а в случае ОС Windows следы запуска на виртуальной машине могут быть обнаружены и в реестре.

Скажем, при использовании VMware Workstation для взаимодействия гостевой и основной ОС служит порт с номером 0x5658. Если в EAX положить число 0x564d5868, а в ECX записать 0x0A, то команда вернет версию установленной VMware Workstation.

Узнать, работает ли сам пользователь на виртуальной или реальной машине, можно, например, с помощью утилиты Pafish (Paranoid Fish). Она проверяет:

размер жесткого диска и оперативной памяти;
разрешение экрана;
движения мыши;
таймер TSC виртуальной машины;
наличие в системе ПО, идентификаторов устройств и MAC-адресов сетевых адаптеров, характерных для анализаторов и виртуальных машин.

Вот, скажем, пример запуска Pafish на виртуальной машине:

Pafish успешно обнаружил виртуальную среду при проверке Timestamp counters. Несмотря на то, что для калибровки этого таймера предусмотрено специальное поле в структуре, используемой при аппаратной виртуализации, правильно его настроить довольно сложно. Это связано с проблемой точного определения числа тактов, происходящих при vmexit и vmresume.

Компания «Доктор Веб» предлагает свои клиентам специальный облачный сервис – Dr.Web vxCube, в который пользователь может загрузить вызывающий подозрение файл. Тот будет запущен на специальной виртуальной машине, не позволяющей изучаемому образцу обнаружить, что его запустили в виртуальном окружении.

Опыт анализа огромного количества вредоносных программ позволил специалистам нашей компании определить методы, используемые вирусописателями для выявления запуска ПО на виртуальных машинах, – и разработать технологии, позволяющие обмануть вредоносные программы. Так, последние не смогут использовать в своих целях:

информацию о кулере;
информацию о наличии термальных зон в ACPI материнской платы;
информацию о наличии ярлыков, установленных программ и обновлений ОС;
информацию о использовании Xeon-процессора и др.

Контроль за хакерскими методами позволяет оперативно добавлять в сервис техники их нейтрализации. В Dr.Web vxCube используется более 370 (на август 2020 г.) – рекордное число! – одних только техник противодействия обнаружению средств анализа вредоносных программ.

Запустим Pafish в сервисе Dr.Web vxCube:

Запускается проверка. Тут надо сказать, что пользователь сервиса может или дождаться окончания проверки, или, используя VNC, войти в виртуальную машину для выполнения нужных ему действий. В данном случае, зайдя в виртуальную машину, он увидит работу Pafish:

Как видим, все проверки проходят успешно, наличия виртуальной машины не выявлено. А вот заметил ли сервис, что его анализируют?

После завершения анализа работы программы (время анализа, кстати, можно настроить до запуска программы) прокручиваем страницу отчета до раздела Поведение. И видим запись Обнаружение Vm, а в разделе Описание можем узнать подробности:

#вредоносное_ПО #облачные_технологии #признаки_заражения #технологии_Dr.Web

Антивирусная правДА! рекомендует

Если вам необходимо проверить некую программу на наличие вредоносного функционала, рекомендуем использовать сервис Dr.Web vxCube. Исследуемая программа не узнает, что за ней следят, а сервис Dr.Web vxCube не только укажет на вредоносный функционал, но и создаст специальную версию утилиты Dr.Web CureIt!, умеющую удалять именно анализируемый вредоносный файл.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

slawik_3
08:48:47 2021-01-27

Купи Dr.Web Security Space, потом купи Dr.Web vxCube. Потом еще что нибудь))

Альфа
22:47:15 2020-12-17

Интересно, что сервиз не только обнаружит вредонос, но и создаст лечущую утилиту. Здорово!

Jamal 6545
08:59:05 2020-12-16

Спасибо, очень полезная программа отличный сервис.

Alex Kad
11:07:52 2020-12-13

Спасибо! Полезная информация и полезный сервис!

Korney
23:47:48 2020-12-11

Спасибо за информацию, интересный сервис.

Неуёмный Обыватель Собкор
22:16:30 2020-12-11

Чем дальше в лес, тем больше дров

Lia00 Собкор
21:57:33 2020-12-11

время идет... прогресс растет...

L1t1um
20:40:38 2020-12-11

Отличный выпуск. Возможно пригодится, поэтому в избранное добавлю!

orw_mikle
20:17:46 2020-12-11

Я надеюсь, что установленный у меня Dr.Web Security Space, сам проверит некую программу на наличие вредоносного функционала.

Геральт Собкор
19:25:30 2020-12-11

Dr.Web vxCube ни одному вредоносу себя скомпрометировать не даст.

Slava90
17:46:38 2020-12-11

Спасибо за статью, информация полезная. Когда-нибудь возможно воспользуюсь Dr.Web vxCube.

Пока справляется на отлично Dr.Web Security Space.

Masha
17:27:58 2020-12-11

Очень интересный сервис Dr.Web vxCube! Но я пока довольствуюсь Dr.Web Security Spase!

eaglebuk
16:40:07 2020-12-11

Спасибо за информацию!

PS. Про одинаковый BIOS лишнее замечание, конечно. Он (она?) отличается не только производителем, для каждой материнской платы своя система BIOS, в которой могут быть настройки, отличающиеся от дефолтных. И UEFI туда же.

Татьяна
16:05:16 2020-12-11

Интересная утилита Pafish (Paranoid Fish). Раньше о такой не слышала.

anatol
14:35:42 2020-12-11

Очень мудрено, аж дух захватывает. Очевидно, ориентировано на профессионалов и им интересно и полезно.

Filip_s
14:10:53 2020-12-11

До чего дошел прогресс,
Вкалывают роботы, а не человек

vinnetou
13:20:53 2020-12-11

Спасибо за интересный сервис Dr.Web vxCube,в большей степени нужный сисадминам и IT-специалистам,а обычным пользователям вполне хватит Dr.Web Security Spase!!!

Денисенко Павел Андреевич
12:50:25 2020-12-11

Пока еще не пробовал пользоваться продуктом Dr.Web vxCube)

Любитель пляжного футбола Собкор
11:57:00 2020-12-11

Как-то надобности в данном сервисе не возникало.

"Параноидальная рыбка", ну и назвали программу. :))

kozinka.ru Собкор
10:57:07 2020-12-11

Думаю, что описанным сервисом пользоваться не придётся. Довольствуюсь тем, что есть - DrWebSS.

GREEN Собкор
10:56:06 2020-12-11

Cервис Dr.Web vxCube хорош, бесспорно, но ... за все хорошее нужно ... (ну, конечно, конечно, как же без этого ...) платить!
А бесплатным бывает только сыр в известным всем местах ...

Polyarnik
10:45:40 2020-12-11

Спасибо за интересный сервис Dr.Web vxCube. Попробую использовать.

Alexander Собкор
10:37:24 2020-12-11

Песочница - это здорово! Детство, начальные познания межличностных отношений, строительство и разрушение, "потеряшки" игрушек случайно и намеренно. Сокрытие "клада" и его поиски. Страус голову в песок, - и вот он уже в новом мире без опасностей.
Взрослые тоже играют в "песочницах" в придуманных ими играх под общим названием "Песочница". Придумываются правила, им следуют и их нарушают, экспериментируют... Пытаются в песочницах спрятать ценности и защитить их от злоумышленников. Понимают, что надёжную защиту на песке и из песка не построить. Но вот временно как бы затеряться, укрыться, спрятаться от прямого контакта, - вполне себе реально.

А ещё, имея навыки пребывания и жизни в песчаных барханах, можно без особых усилий с пришлыми врагами "разобраться". И разделить, и допросить, и изучить. И понять какие инструменты для нового ворога будут наиболее эффективны на твёрдой почве Интернета. И подготовить соответствующее защитно-оборонительное оружие.

Вот так и делает DrWeb vxCube. Попав в его "объятия" потенциальный алчный недоброжелатель и не поймёт, что он не в желанном городе, наполненном ценностями. Здесь он будет изучен вдоль и поперёк, препарирован, замкнут и лишён права переписки со своими хозяевами.

Тут и сказочке конец, а кто пользуется услугами и возможностями DrWeb vxCube, - тот молодец, а невеста идёт под венец...

vkor
09:43:30 2020-12-11

Надо, надо популяризировать Dr.Web vxCube!

Vlad X
09:18:52 2020-12-11

Не пользовался Dr.Web vxCube,проверяю антивирусом.

maestro431
09:10:45 2020-12-11

Очень нужные рекомендации. Спасибо!

Пaвeл Собкор
08:33:00 2020-12-11

Пока не доводилось пользоваться Dr.Web vxCube. За информацию спасибо!

Sergey
07:43:53 2020-12-11 Именинник

Для меня достаточно проверить скачанную программу или файл установленным антивирусом и для подстраховки на сервисе VirusTotal. Сервис Dr.Web vxCube в большей степени нужен сисадминам и IT-специалистам а области безопасности, хотя как-нибудь можно попробовать и этот сервис.

tigra Собкор
07:31:58 2020-12-11

За подсказку о Dr.Web vxCube спасибо, проверю свой виртуалБокс от Оракле)

tigra Собкор
07:30:54 2020-12-11

"одинаковый всегда и везде BIOS" минуточку... как минимум три компании специализируются на производстве BIOS. каждый пишет как умеет. не говоря уже о UEFI, чудном детище прогресса))) Так что говорить про "одинаковость" неверно.

ka_s
06:28:08 2020-12-11

К сожалению, с сервисом Dr.Web vxCube не знаком.

achemolganskiy
05:52:26 2020-12-11

По моему разумению бациллы лошадки Одиссея прочая нечисть могут проникать и находиться где угодно. Песочница не панацея. Да и прочие вещи. Как в живом организме какой только бяки нет. В живом организме - иммунитет + пилюли и микстуры, а у моей машины- Dr.Web.

SGES Собкор
05:30:44 2020-12-11

На всякий случай - свой обычай.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Прятки в песочнице: о возможностях Dr.Web vxCube

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей