Вы используете устаревший браузер!

Страница может отображаться некорректно.

Кухня

Кухня

Другие выпуски этой рубрики (48)
  • добавить в избранное
    Добавить в закладки

Прятки в песочнице: о возможностях Dr.Web vxCube

Прочитали: 15708 Комментариев: 33 Рейтинг: 62

11 декабря 2020

Песочница зачастую считается панацеей при защите от вредоносных программ. Предполагается, что запущенное в песочнице ПО проявит свои вредоносные функции, таким образом выдав свою сущность. Вполне логично, что разработчики вредоносных программ об этом знают и стремятся избежать раскрытия истинного предназначения своих изделий при запуске в песочнице. Также вирусописатели предполагают, что если кто-то будет их программы исследовать, то запускать их станут на виртуальных машинах.

В обоих случаях, если вирусописатели не хотят, чтобы вредоносные действия программы при запуске были выявлены, им нужно понимать, что их ПО запущено в изолированном окружении. Интересно, что, зная об этом, некоторые пользователи на обычном ПК производят манипуляции, чтобы для вредоносных программ компьютер выглядел виртуальным. Если кто помнит - это, по сути, старое ламповое вакцинирование. В 90-е годы прошлого века существовали не только первые антивирусы, но и так называемые программы-вакцины, имитирующие заражение файла с тем, чтобы вирусы, проверив его, не стали его заражать. Может ли такой фокус стать заменой антивирусу? Конечно, нет – далеко не все вредоносные программы имеют функционал проверки запуска в виртуальной машине. Почему? Хотя бы потому, что в компаниях серверы зачастую развёртывают именно на виртуальных машинах. Да и удаленным пользователям часто рекомендуется работать с офисными сервисами именно с виртуальной машины.

Как можно определить, что программа запущена в виртуальной машине? В случае реальных ПК используется самое различное оборудование – например, жесткие диски от разных производителей, самые разные видеокарты и сетевое оборудование, различные версии BIOS. В случае машин виртуальных оборудование однообразно. И, соответственно, узнав, на каком оборудовании запущена операционная система, можно сделать определенные выводы.

Операционные системы на виртуальных машинах могут иметь специфические сервисы, установленные драйверы и программы (например, в случае VMware – VMware Tools). Ну а в случае ОС Windows следы запуска на виртуальной машине могут быть обнаружены и в реестре.

Скажем, при использовании VMware Workstation для взаимодействия гостевой и основной ОС служит порт с номером 0x5658. Если в EAX положить число 0x564d5868, а в ECX записать 0x0A, то команда вернет версию установленной VMware Workstation.

Узнать, работает ли сам пользователь на виртуальной или реальной машине, можно, например, с помощью утилиты Pafish (Paranoid Fish). Она проверяет:

  • размер жесткого диска и оперативной памяти;
  • разрешение экрана;
  • движения мыши;
  • таймер TSC виртуальной машины;
  • наличие в системе ПО, идентификаторов устройств и MAC-адресов сетевых адаптеров, характерных для анализаторов и виртуальных машин.

Вот, скажем, пример запуска Pafish на виртуальной машине:

#drweb

Pafish успешно обнаружил виртуальную среду при проверке Timestamp counters. Несмотря на то, что для калибровки этого таймера предусмотрено специальное поле в структуре, используемой при аппаратной виртуализации, правильно его настроить довольно сложно. Это связано с проблемой точного определения числа тактов, происходящих при vmexit и vmresume.

Компания «Доктор Веб» предлагает свои клиентам специальный облачный сервис – Dr.Web vxCube, в который пользователь может загрузить вызывающий подозрение файл. Тот будет запущен на специальной виртуальной машине, не позволяющей изучаемому образцу обнаружить, что его запустили в виртуальном окружении.

Опыт анализа огромного количества вредоносных программ позволил специалистам нашей компании определить методы, используемые вирусописателями для выявления запуска ПО на виртуальных машинах, – и разработать технологии, позволяющие обмануть вредоносные программы. Так, последние не смогут использовать в своих целях:

  • информацию о кулере;
  • информацию о наличии термальных зон в ACPI материнской платы;
  • информацию о наличии ярлыков, установленных программ и обновлений ОС;
  • информацию о использовании Xeon-процессора и др.

Контроль за хакерскими методами позволяет оперативно добавлять в сервис техники их нейтрализации. В Dr.Web vxCube используется более 370 (на август 2020 г.) – рекордное число! – одних только техник противодействия обнаружению средств анализа вредоносных программ.

Запустим Pafish в сервисе Dr.Web vxCube:

#drweb

#drweb

Запускается проверка. Тут надо сказать, что пользователь сервиса может или дождаться окончания проверки, или, используя VNC, войти в виртуальную машину для выполнения нужных ему действий. В данном случае, зайдя в виртуальную машину, он увидит работу Pafish:

#drweb

Как видим, все проверки проходят успешно, наличия виртуальной машины не выявлено. А вот заметил ли сервис, что его анализируют?

После завершения анализа работы программы (время анализа, кстати, можно настроить до запуска программы) прокручиваем страницу отчета до раздела Поведение. И видим запись Обнаружение Vm, а в разделе Описание можем узнать подробности:

#drweb

#drweb

#вредоносное_ПО #облачные_технологии #признаки_заражения #технологии_Dr.Web

Антивирусная правДА! рекомендует

Если вам необходимо проверить некую программу на наличие вредоносного функционала, рекомендуем использовать сервис Dr.Web vxCube. Исследуемая программа не узнает, что за ней следят, а сервис Dr.Web vxCube не только укажет на вредоносный функционал, но и создаст специальную версию утилиты Dr.Web CureIt!, умеющую удалять именно анализируемый вредоносный файл.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии