Что такое песочница avast

Обновлено: 21.11.2024

Побег из песочницы Avast, CVE-2016-4025, возможен из-за конструктивного недостатка функции Avast DeepScreen. Вполне вероятно, что этот недостаток еще какое-то время останется в поддерживаемых продуктах Avast.

Взломать статические сигнатуры антивирусного обнаружения довольно просто. AV-индустрия начала понимать, что они больше не могут полагаться ни на это, ни на простые эвристики известных поведенческих паттернов, например, на основе определенной логики путей выполнения и вызовов функций.
Следующая важная вещь в обнаружении вредоносного ПО, с точки зрения AV, — это помещение неизвестного образца в песочницу и его анализ в полностью контролируемой среде с одновременным отслеживанием его поведения более общим способом.
Кроме того, предоставление дополнительных возможностей изолированной программной среды, которые позволяют пользователю выполнять ненадежные приложения более безопасным способом и/или смягчать в распространенных сценариях влияние эксплойта на доверенное приложение, такое как веб-браузер, может быть очень ценным. В этой области еще предстоит проделать большую работу, но будущее за предотвращением заражения вредоносными программами нулевого дня.
В этой статье мы сосредоточимся на конструктивном недостатке функций AVAST Sandbox/DeepScreen, а также на том влиянии, которое это может оказать на дополнительные уровни безопасности, которые эти функции пытаются обеспечить.
Кстати, проведя небольшое исследование этой уязвимости, я обнаружил в Интернете несколько видеороликов под названием «Обход песочницы AVAST», которые не связаны с выходом из полностью изолированного процесса. Эти ролики как раз демонстрируют, что продукты AVAST не всегда запускают функцию сканирования DeepScreen, а не то, как выбраться из песочницы, когда процесс уже запущен внутри нее.
Песочница Avast
Avast — один из первых поставщиков антивирусных программ, который включил собственную песочницу в антивирусный продукт. Это не следует путать с другими методами песочницы, реализованными на уровне пользователя, например, веб-браузерами, такими как IE. Обычно они реализуются путем снижения уровня целостности процесса и/или удаления из него определенных привилегий, связанных с доступом к ресурсам.
Реализация Avast Sandbox основана на драйвере файловой системы режима ядра под названием «Драйвер виртуализации Avast» (aswSnx.sys), который отвечает за изоляцию определенного процесса от остальной системы. Другими словами, он блокирует взаимодействие процесса в песочнице (внедрение кода/удаленного потока) с другими процессами, работающими за пределами песочницы, а также удаление новых файлов и/или изменение существующих.

Рисунок 1. Приложение в песочнице


Позиция Avast
«Песочница Avast позволяет запускать сомнительные программы, не рискуя своим компьютером».
«Песочница Avast — это специальная функция безопасности, которая позволяет автоматически запускать потенциально подозрительные приложения в полностью изолированной среде».
«…программы, работающие в песочнице, имеют ограниченный доступ к вашим файлам и системе, поэтому нет никакого риска для вашего компьютера или любых других ваших файлов».
«Преимущество запуска приложения в песочнице заключается в том, что оно позволяет проверять подозрительные приложения, оставаясь при этом полностью защищенным от любых вредоносных действий, которые может попытаться выполнить зараженное приложение»
Avast 'DeepScreen' Scan < br />На самом деле это очень хорошая функция продуктов Avast AV, которая пытается поднять планку с точки зрения поведенческого анализа неизвестных исполняемых файлов. Он использует преимущества встроенной песочницы для отслеживания поведения исполняемого файла в течение 15 секунд при его первом запуске.
В течение этого периода процесс выполняется внутри песочницы, и если к его концу не будет обнаружено ничего подозрительного, Avast автоматически перезапустит процесс, который в будущем всегда будет запускаться из песочницы.
Конечно, если пользователь намеренно не указывает программе Avast запускать конкретный исполняемый файл в песочнице при следующем запуске или всегда.

Рисунок 2. Сканирование DeepScreen


Позиция Avast
«Когда файл «DeepScreened», он фактически запускается в песочнице, которая в основном отвечает за изоляцию вещей во время наблюдения за различными высокоуровневыми событиями и поведением программа запущена».
Игра с песочницей Avast…
Мы начали исследовать безопасность песочницы, пытаясь найти способ перетаскивать новые файлы или изменять существующие через изолированный процесс, а также пытаться выполнить код в адресе пространство другого.
Сначала мы пробовали наиболее очевидные действия, которые включали только прямые вызовы функций Windows, таких как CreateFile и OpenProcess. Эти попытки были успешно заблокированы песочницей, поэтому нам пришлось продолжать поиски.
На этом этапе мы начали рассматривать возможности песочницы, связанные с гибкостью, или, другими словами, что произойдет, если пользователь захочет сохранить файл, созданный изолированным процессом.
Мы запустили экземпляр notepad.exe в песочнице, набрали несколько букв, а затем использовали диалоговое окно «Сохранить как», чтобы навсегда сохранить текстовый файл на жестком диске. Эта попытка удалась, но и тогда мы шли вполне законным путем. Итак, просто чтобы убедиться, что нет какого-то белого списка, мы попытались напрямую сохранить файл из изолированного экземпляра блокнота. Мы вручную внедрили некоторый код, который вызывал прямой вызов CreateFile в адресное пространство этого процесса, который также был успешно заблокирован.
На этом этапе возникла пара вопросов, на которые мы должны были ответить.
1. Как функция «Сохранить как» успешно сохраняет файл из «песочницы»?
2. Насколько это безопасно?
Находим выход…
Из предыдущих наблюдений мы сделали справедливое предположение, что должно быть взаимодействие с драйвером режима ядра, и из названия этой статьи вы понимаете, к чему это идет.
Действительно, используя «API Monitor» для поиска вызовов функций DeviceIoControl и CreateFile, мы обнаружили нечто очень интересное, происходящее при использовании диалога «Сохранить как».

Рисунок 3. Монитор API — вызов DeviceIoControl


Как видно на рисунке выше, существует комбинация вызовов функций DeviceIoControl и CreateFile. Интересный вызов, связанный с взаимодействием с драйвером виртуализации, происходит через проприетарный модуль Avast (snxhk.dll), который загружается изолированным процессом блокнота.
Давайте рассмотрим это подробнее:

  • Управление устройствами
    • Вызов модуля: snxhk.dll
    • Устройство: .aswsnx
    • Драйвер: aswSnx.sys [avast! Драйвер виртуализации]
    • IOCTL: 0x82AC0168
    • InputBuffer_Size:0x80C
    • Выходной буфер: не требуется

    Рисунок 4. Вызов DeviceIoControl

    Здесь важно отметить, что рисунки 3 и 4 были созданы при анализе версии 10.x домашних пользовательских продуктов Avast Windows. Позже, в версиях 11.x, мы заметили попытку скрыть наличие модуля snxhk.dll, который больше не отображается в списке загружаемых модулей. Это приводит к тому, что API Monitor пропускает эти вызовы, а также дает пищу для размышлений о других вещах.
    Однако на самом деле это не проблема, так как это не меняет того факта, что необходимо выполнить вызов DeviceIoControl, что упрощает поиск модуля в адресном пространстве. исследуемого процесса, как показано на следующем рисунке.

    Рисунок 5. Расположение модуля snxhk.dll в версиях 11.x


    Это все, что нам нужно знать, чтобы выйти из полностью изолированного процесса, независимо от того, был ли он временно или постоянно изолирован пользователем или в течение 15-секундного интервала времени, когда 'DeepScreen' сканировать предложения.
    Действительно, драйвер виртуализации больше не проверяет, и у пользователя не будет запрашиваться его собственное разрешение на выпуск файла из песочницы. Кроме того, используя вышеупомянутый IOCTL, мы также можем свободно изменять или, скажем, заражать или шифровать, в случае атаки программы-вымогателя, любой существующий файл, для которого у пользователя есть права доступа на чтение/запись. Все это благодаря комфорту и уверенности в безопасности, которые, как утверждается, обеспечивает песочница Avast.
    Имейте в виду, что для разных версий этих продуктов могут потребоваться небольшие изменения в параметрах, передаваемых функции DeviceIoControl, но разобраться с ними несложно.
    Безопасность и удобство использования: 0 - 1
    Мы сообщили об этой проблеме в Avast в начале ноября 2015 года, как только обнаружили, что из-за нее самая важная функция безопасности всех их продуктов Windows практически бесполезна.
    Это явно очень серьезный недостаток, но, по их словам, "довольно сложно найти баланс между безопасностью и удобством использования", и по этой причине он не может претендовать на награду в соответствии с их схема вознаграждения за ошибки.
    Эта уязвимость все еще присутствует, так как более 4 месяцев спустя их попытки устранить ее оказались недостаточными. Недавно Avast заявила, что устранила эту проблему во время сканирования DeepScreen. Однако решение Avast заключалось в том, чтобы не позволять пользователю нажимать диалоговое окно "Сохранить как" приложения в течение этих 15 секунд, но это не мешает приложению использовать DeviceIoControl< /em> работает по желанию, как мы продемонстрировали. Другими словами, поверхность атаки остается прежней.
    Затронутые продукты

    • Продукты для домашних пользователей
      • Avast Internet Security v11.x.x
      • Avast Pro Antivirus v11.x.x
      • Avast Premier v11.x.x
      • Бесплатный антивирус Avast v11.x.x
      • Avast для бизнеса
        • Avast Business Security v11.x.x
        • Avast Endpoint Protection v8.x.x
        • Avast Endpoint Protection Plus v8.x.x
        • Комплект Avast Endpoint Protection v8.x.x
        • Avast Endpoint Protection Suite Plus v8.x.x
        • Avast File Server Security v8.x.x
        • Avast Email Server Security v8.x.x

        В настоящее время затронуты более ранние и последние версии этих продуктов.
        Заключение
        После раскрытия этой проблемы мы надеемся, что Avast серьезно поработает над ней и смягчит последствия, которые она может иметь. Есть и другие интересные IOCTL, с которыми мы рекомендуем вам поиграться, но мы оставим их читателю в качестве упражнения.
        Avast Sandbox — Escape во время сканирования DeepScreen

        Песочница – это инструмент виртуализации в составе Avast Premium Security, который позволяет просматривать веб-страницы или запускать приложения в виртуальной безопасной среде, полностью изолированной от остальной системы вашего ПК. Эта функция полезна, если вы хотите без риска запускать подозрительные или ненадежные приложения.

        Запуск приложений в песочнице

        Вы можете запустить приложение в песочнице с помощью контекстного меню Windows или экрана песочницы в Avast Antivirus.

        1. Найдите .exe-файл приложения, которое вы хотите запустить.
        2. Щелкните правой кнопкой мыши значок приложения и выберите "Запустить в песочнице" в контекстном меню.

          3. Приложение открывается в виртуальном окне с цветной рамкой и меткой Avast Sandbox. Чтобы завершить виртуализированный сеанс, щелкните значок X в правом верхнем углу окна, чтобы закрыть приложение.

          Указать автоматические приложения Sandbox

          Вы можете настроить определенные приложения так, чтобы они всегда запускались в песочнице. Это можно сделать с помощью контекстного меню Windows или экрана «Песочница» в Avast Antivirus.

          1. Найдите .exe-файл приложения, которое вы хотите всегда запускать в песочнице.
          2. Щелкните правой кнопкой мыши значок приложения и выберите в контекстном меню пункт Всегда запускать в песочнице.

            1. Откройте Avast Antivirus и выберите ☰ МенюНастройкиЗащитаПесочница.
            2. Нажмите + Добавить приложение.
            3. Выберите приложение одним из следующих способов:
              1. Нажмите на приложение в списке, чтобы мгновенно добавить его.
              2. Нажмите Выберите путь к приложению, затем выберите приложение и нажмите «Открыть».

                3. Приложение теперь будет автоматически запускаться в тестовой среде каждый раз, когда вы открываете приложение.

                Управление настройками песочницы

                Чтобы получить доступ к настройкам Песочницы, щелкните значок Настройки в правом верхнем углу экрана Песочницы или перейдите в ☰ МенюНастройкиЗащитаПесочница.

                Следующие параметры включены по умолчанию. Чтобы отключить настройку, снимите флажок рядом с соответствующей опцией:

                • Показать песочницу Avast в контекстном меню Windows: позволяет щелкнуть правой кнопкой мыши значок приложения и выбрать «Запустить в песочнице». При отключении этого параметра команды песочницы удаляются из контекстного меню Windows.
                • Разрешить всем виртуализированным приложениям доступ к Интернету: разрешить приложениям, работающим в песочнице, доступ к Интернету. Отключение этого параметра запрещает приложениям получать доступ к Интернету в песочнице.
                • Сохранение надежных загруженных файлов за пределами тестовой среды. При использовании веб-браузера в тестовой среде загружаемые вами файлы сохраняются на вашем ПК вне среды тестовой среды. Если эта опция включена, вы можете сохранить загруженные файлы после закрытия окна Песочницы. Отключение этого параметра приводит к тому, что загруженные файлы автоматически удаляются при закрытии сеанса песочницы.

                Подробнее о дополнительных настройках тестовой среды см. в следующей статье:

                Посещение небезопасных веб-сайтов представляет опасность для всех, кто часто пользуется Интернетом. Многие вредоносные веб-сайты выглядят безопасными и законными, поэтому трудно сказать, какие из них нанесут вред вашему компьютеру, но они могут заразить ваш компьютер вредоносными программами. Avast Internet Security имеет режим песочницы, который позволяет запускать веб-браузер в виртуальной среде. Режим песочницы защищает ваш компьютер от инфекций, даже когда вы посещаете небезопасные веб-сайты. Вы можете запустить режим песочницы, активировав его на панели управления Avast Internet Security или щелкнув правой кнопкой мыши любую программу во время работы Avast.

                В Avast

                Дважды щелкните значок Avast Internet Security на рабочем столе, чтобы открыть программу. Либо щелкните правой кнопкой мыши значок Avast на панели задач и выберите «Открыть пользовательский интерфейс Avast».

                Нажмите «Дополнительная защита» в левой части окна Avast. Нажмите "Песочница".

                Нажмите "Запустить виртуализированный процесс" в нижней части окна. Avast предложит вам выбрать программу в появившемся окне.

                Дважды щелкните интернет-браузер, который вы хотите запустить в режиме песочницы. Интернет-браузер открывается с красной рамкой вокруг окна.

                Закройте интернет-браузер, если хотите выйти из режима песочницы.

                Вне Avast

                Щелкните правой кнопкой мыши значок интернет-браузера, который вы хотите запустить в режиме песочницы.

                Выберите «Запустить виртуализацию», чтобы запустить интернет-браузер в режиме песочницы. Закройте браузер, чтобы отменить режим песочницы.

                Выберите «Всегда запускать в песочнице», чтобы интернет-браузер запускался в песочнице каждый раз, когда вы его открываете. После выбора этого параметра снова щелкните правой кнопкой мыши значок браузера и выберите «Запустить вне песочницы», чтобы запустить его вне режима песочницы только для этого сеанса. Чтобы отменить, выберите "Всегда запускать вне тестовой среды".

                • Чтобы всегда включать режим песочницы для интернет-браузеров на вашем компьютере, нажмите "Защита браузера" в разделе "Дополнительная защита", а затем нажмите "Настройки". Выберите "Открыть в песочнице".
                • При использовании AutoSandbox Avast автоматически запускает приложение в песочнице, если обнаруживает подозрительную активность. Чтобы изменить настройки этого режима, нажмите «AutoSandbox» в разделе «Дополнительная защита». Нажмите «Настройки» и выберите причины, по которым Avast должен запускать режим AutoSandbox, например «Происхождение/источник файла подозрительно». Щелкните раскрывающееся меню, чтобы выбрать, должен ли Avast запускать AutoSandbox автоматически или сначала спрашивать вас. Если вы хотите исключить программу из AutoSandbox, нажмите «Обзор» и выберите программу для добавления в список исключений.

                Мелисса Кинг начала писать в 2001 году. В течение трех лет она писала статьи для местной газеты The Colt, репортажи, новости, обзоры продуктов и развлекательные материалы. Она также является владельцем и оператором Howbert Freelance Writing. Кинг имеет степень младшего специалиста по коммуникациям Колледжа округа Таррант.

                Песочница Avast позволяет запускать сомнительные программы, не рискуя безопасностью вашего компьютера.

                Песочница Avast позволяет вам запускать сомнительную программу, не рискуя безопасностью вашего компьютера.

                Песочница похожа на мячик для хомяка. Он изолирует потенциальных нарушителей спокойствия.

                Песочница Avast — это специальная функция безопасности, позволяющая автоматически запускать потенциально подозрительные приложения в полностью изолированной среде. Это особенно полезно, если вы не полностью доверяете тому, что вы только что загрузили, или посещаете сомнительные веб-сайты, потому что программы, работающие в песочнице, имеют ограниченный доступ к вашим файлам и системе, поэтому нет никакого риска для вашего компьютера или любых других ваших файлов.

                Как работает песочница Avast

                По умолчанию, если приложение запущено и Avast обнаруживает что-либо подозрительное, оно автоматически запускается в песочнице.Преимущество запуска приложения в песочнице заключается в том, что оно позволяет проверять подозрительные приложения, оставаясь при этом полностью защищенным от любых вредоносных действий, которые может попытаться выполнить зараженное приложение.

                Браузер или другое приложение откроется в специальном окне, указывая на то, что оно запущено в песочнице. Когда Песочница будет закрыта, она вернется в исходное состояние, а все загруженные файлы или измененные настройки браузера будут автоматически удалены.

                Окно песочницы в Avast Premier.

                Песочница Avast является частью всех платных продуктов Avast для ПК, поэтому вы можете запускать приложения, загружать файлы и посещать веб-сайты, не заражая свой компьютер случайно.

                Как запустить тестовую среду Avast

                Чтобы запустить любой файл .exe отдельно от остального ПК, просто щелкните файл правой кнопкой мыши и выберите «Запустить в песочнице». Или вы можете открыть свой Avast, перейти в «Инструменты» и выбрать «Песочница» в меню.

                Подпишитесь на Avast в Facebook, Twitter, YouTube и Google+, где мы каждый день информируем вас о новостях кибербезопасности.

                Читайте также: