Вы используете устаревший браузер!

Страница может отображаться некорректно.

СпецНаз (специальные названия)

СпецНаз (специальные названия)

Другие выпуски этой рубрики (30)
  • добавить в избранное
    Добавить в закладки

Песочницы

Прочитали: 1381 Комментариев: 88 Рейтинг: 89

Для многих не секрет, что название «брандмауэр» пришло из пожарной безопасности. Но есть еще один компонент систем защиты, название которого тоже связано с этой областью, однако с пожарами у большинства не ассоциируется.

#drweb

Бункер для песка, ящик противопожарный, ящик для песка… Попросту – песочница. Конструкция, куда можно безопасно бросить что-то горящее, а потом уже разбираться, что это было.

Именно таково предназначение модной системы защиты от вредоносных программ, именуемой «песочница». Программа помещается в некую среду, где показывает (или не показывает) свои вредоносные свойства. Естественно, в теории предполагается, что устройство среды тестирования таково, что программа не может повлиять на что-либо за пределами песочницы.

Песочницы могут предназначаться для проверки полученных файлов или для запуска файла/программы в изолированном окружении. Второй вариант весьма часто реализуется в виде защищенного браузера, в котором пользователь может, к примеру, безопасно проводить банковские операции.

Естественно, при создании песочницы хотелось бы максимально надежно изолировать каждый получаемый исполняемый файл, чтобы тот при этом думал, что он получил полный доступ к данным пользователей. Но требуются ресурсы, которые будут потреблять песочницы при своей работе. Поэтому вариантов устройств песочниц довольно много (кстати, как и у пожарных), и различаются они по уровню изоляции и потребляемым ресурсам.

Самые надежные песочницы реализуются на основе систем виртуализации. В идеале каждый файл открывается на отдельной виртуальной машине, запускаемой только для него. Аналог – взрывозащитный контейнер, который вы наверняка видели в метро.

Но при такой системе придется запускать для каждого полученного файла свою виртуальную машину или налаживать передачу файлов между тестовой машиной и основной.

Более того, нужно постоянно возвращать состояние файловой системы и реестра к исходным для удаления заражения из песочницы. Если этого не делать, то, например, агенты спам-ботов будут продолжать свою работу внутри песочницы как ни в чем не бывало. Блокировать их песочнице нечем. Кроме того, непонятно, что делать с переносимыми носителями информации (флешки, например) или выкачанными из Интернета играми, в которых возможны зловредные закладки.

https://habr.com/post/105581

Ну и ресурсов виртуальная машина потребляет довольно много. Плюс для тестирования работы вредоносного ПО на виртуальную машину нужно установить как минимум MS Office, а лицензии на коммерческое ПО стоят денег.

Второй подход базируется на идее, что подавляющему числу вирусов и троянцев для работы нужны файлы. Так давайте при попытке обратиться к файлу от имени запущенной программы давать копию!

Изоляция на основе частичной виртуализации файловой системы и реестра. Попытка модификации данных объектов приведет к изменению лишь их копий внутри песочницы, реальные данные не пострадают.

Контроль прав не дает возможности атаковать основную систему изнутри песочницы через интерфейсы операционной системы.

Но, как и в предыдущем случае, возникает необходимость тратить ресурсы на копирование затребованных тестируемой программой данных. Жесткие диски сейчас, конечно, почти резиновые, но если некая программа захочет просканировать и зашифровать весь диск, то придется создать копии всех файлов. И в таком случае диска может не хватить.

А ведь одновременно может проверяться много файлов!

Ну и основная проблема: отсутствует полная изоляция от системы, и, если вредоносному ПО могут потребоваться не только файлы или если оно использует какие-то хакерские приемы, оно может обойти изоляцию.

А может, вообще не изолировать тестируемый файл, а лишь наблюдать за его действиями?

Изоляция на основе правил. Все попытки изменения объектов файловой системы и реестра не виртуализируются, но рассматриваются с точки зрения набора внутренних правил средства защиты. Чем полнее и точнее такой набор, тем большую защиту от заражения основной системы предоставляет программа. То есть этот подход представляет собой некий компромисс между удобством обмена данными между процессами внутри песочницы и реальной системой и уровнем защиты от зловредных модификаций. Контроль прав не дает возможности атаковать основную систему изнутри песочницы через интерфейсы операционной системы.

Однако… Это же превентивная защита! Хотя и не совсем, так как превентивная защита не подразумевает изоляцию запущенного файла.

Но проблема изоляции в песочницах – не единственная. Сколько скачивается файлов при загрузке страниц сайта? Что там система закачала автоматически?

Проблема в том, что скачиваемые лично пользователем файлы – это только видимая часть айсберга (а скачанный файл, в свою очередь, может накачать себе дополнений, что часто встречается у троянцев). И возникает вопрос: а что проверять? Неужели ВСЁ? Никаких ресурсов не хватит, да и времени займет много. Только скачанное лично? Нет гарантии, что под проверку попадет именно вредоносная часть комплекса. Написать систему выбора, которая сама будет помещать файлы в песочницу?

Недостатки – неполноценность подобной защиты. Кроме того, что эвристик модуля принятия решения может «промахнуться» на исполняемом модуле, такие решения демонстрируют практически нулевую сопротивляемость неисполняемым файлам, содержащим зловредные скрипты. Ну, плюс еще парочка проблем (например, с установкой зловредных расширений изнутри самого браузера, из тела эксплойта).

Ну и последнее, самое главное. Все имеющиеся на рынке песочницы известны. И злоумышленник может установить, что файл запускается именно в песочнице.

Модуль установки троянца обладает функционалом, позволяющим определить попытку запуска вредоносной программы в отладочной среде или виртуальной машине, чтобы затруднить ее исследование специалистами. Также выполняется проверка на выполнение в изолированной среде «песочницы» Sandboxie.

https://news.drweb.com/show/?c=5&i=4055

Троянец просто выждет определенное время, не проявляя вредоносных функций, и начнет работу, будучи выпущен на свободу.

#Dr.Web_vxCube #технологии #антивирус

Dr.Web рекомендует

Честно говоря, мы не ожидали, что песочницы третьего типа будут так похожи на Превентивную защиту Dr.Web. И кстати, у нас есть своя песочница – сервис Dr.Web vxCube. Вот только мы ее просто так не раздаем, а потому тестируемые вредоносные программы не могут знать, что запущены именно в ней.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: