Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Прятки в песочнице: о возможностях Dr.Web vxCube

Прочитали: 1366 Комментариев: 32 Рейтинг: 57

11 декабря 2020

Песочница зачастую считается панацеей при защите от вредоносных программ. Предполагается, что запущенное в песочнице ПО проявит свои вредоносные функции, таким образом выдав свою сущность. Вполне логично, что разработчики вредоносных программ об этом знают и стремятся избежать раскрытия истинного предназначения своих изделий при запуске в песочнице. Также вирусописатели предполагают, что если кто-то будет их программы исследовать, то запускать их станут на виртуальных машинах.

В обоих случаях, если вирусописатели не хотят, чтобы вредоносные действия программы при запуске были выявлены, им нужно понимать, что их ПО запущено в изолированном окружении. Интересно, что, зная об этом, некоторые пользователи на обычном ПК производят манипуляции, чтобы для вредоносных программ компьютер выглядел виртуальным. Если кто помнит - это, по сути, старое ламповое вакцинирование. В 90-е годы прошлого века существовали не только первые антивирусы, но и так называемые программы-вакцины, имитирующие заражение файла с тем, чтобы вирусы, проверив его, не стали его заражать. Может ли такой фокус стать заменой антивирусу? Конечно, нет – далеко не все вредоносные программы имеют функционал проверки запуска в виртуальной машине. Почему? Хотя бы потому, что в компаниях серверы зачастую развёртывают именно на виртуальных машинах. Да и удаленным пользователям часто рекомендуется работать с офисными сервисами именно с виртуальной машины.

Как можно определить, что программа запущена в виртуальной машине? В случае реальных ПК используется самое различное оборудование – например, жесткие диски от разных производителей, самые разные видеокарты и сетевое оборудование, одинаковый всегда и везде BIOS. В случае машин виртуальных оборудование однообразно. И, соответственно, узнав, на каком оборудовании запущена операционная система, можно сделать определенные выводы.

Операционные системы на виртуальных машинах могут иметь специфические сервисы, установленные драйверы и программы (например, в случае VMware – VMware Tools). Ну а в случае ОС Windows следы запуска на виртуальной машине могут быть обнаружены и в реестре.

Скажем, при использовании VMware Workstation для взаимодействия гостевой и основной ОС служит порт с номером 0x5658. Если в EAX положить число 0x564d5868, а в ECX записать 0x0A, то команда вернет версию установленной VMware Workstation.

Узнать, работает ли сам пользователь на виртуальной или реальной машине, можно, например, с помощью утилиты Pafish (Paranoid Fish). Она проверяет:

  • размер жесткого диска и оперативной памяти;
  • разрешение экрана;
  • движения мыши;
  • таймер TSC виртуальной машины;
  • наличие в системе ПО, идентификаторов устройств и MAC-адресов сетевых адаптеров, характерных для анализаторов и виртуальных машин.

Вот, скажем, пример запуска Pafish на виртуальной машине:

#drweb

Pafish успешно обнаружил виртуальную среду при проверке Timestamp counters. Несмотря на то, что для калибровки этого таймера предусмотрено специальное поле в структуре, используемой при аппаратной виртуализации, правильно его настроить довольно сложно. Это связано с проблемой точного определения числа тактов, происходящих при vmexit и vmresume.

Компания «Доктор Веб» предлагает свои клиентам специальный облачный сервис – Dr.Web vxCube, в который пользователь может загрузить вызывающий подозрение файл. Тот будет запущен на специальной виртуальной машине, не позволяющей изучаемому образцу обнаружить, что его запустили в виртуальном окружении.

Опыт анализа огромного количества вредоносных программ позволил специалистам нашей компании определить методы, используемые вирусописателями для выявления запуска ПО на виртуальных машинах, – и разработать технологии, позволяющие обмануть вредоносные программы. Так, последние не смогут использовать в своих целях:

  • информацию о кулере;
  • информацию о наличии термальных зон в ACPI материнской платы;
  • информацию о наличии ярлыков, установленных программ и обновлений ОС;
  • информацию о использовании Xeon-процессора и др.

Контроль за хакерскими методами позволяет оперативно добавлять в сервис техники их нейтрализации. В Dr.Web vxCube используется более 370 (на август 2020 г.) – рекордное число! – одних только техник противодействия обнаружению средств анализа вредоносных программ.

Запустим Pafish в сервисе Dr.Web vxCube:

#drweb

#drweb

Запускается проверка. Тут надо сказать, что пользователь сервиса может или дождаться окончания проверки, или, используя VNC, войти в виртуальную машину для выполнения нужных ему действий. В данном случае, зайдя в виртуальную машину, он увидит работу Pafish:

#drweb

Как видим, все проверки проходят успешно, наличия виртуальной машины не выявлено. А вот заметил ли сервис, что его анализируют?

После завершения анализа работы программы (время анализа, кстати, можно настроить до запуска программы) прокручиваем страницу отчета до раздела Поведение. И видим запись Обнаружение Vm, а в разделе Описание можем узнать подробности:

#drweb

#drweb

#вредоносное_ПО #облачные_технологии #признаки_заражения #технологии_Dr.Web

Антивирусная правДА! рекомендует

Если вам необходимо проверить некую программу на наличие вредоносного функционала, рекомендуем использовать сервис Dr.Web vxCube. Исследуемая программа не узнает, что за ней следят, а сервис Dr.Web vxCube не только укажет на вредоносный функционал, но и создаст специальную версию утилиты Dr.Web CureIt!, умеющую удалять именно анализируемый вредоносный файл.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей