Обновлено: 02.07.2024

Бесплатно подпишитесь на нашу рассылку новостей

Kaspersky запустила новую Песочницу Касперского, созданную для помощи организациям в борьбе с продвинутыми угрозами, призванными избежать обнаружения платформами защиты конечных точек (EPP). Решение автоматически анализирует новые подозрительные файлы и отправляет решение в установленный EPP. В результате организации усиливают свою защиту от ранее неизвестных угроз, даже если у них нет групп опытных аналитиков угроз или ограничены ресурсы.

Согласно опросу, проведенному «Лабораторией Касперского» среди лиц, принимающих решения в области ИТ, 47 % малых и средних предприятий и 51 % предприятий говорят, что становится все труднее различать общие и сложные атаки. Это означает, что аналитикам безопасности приходится тратить время на оценку многочисленных подозрительных файлов, вместо того чтобы сосредоточиться на расследовании и реагировании на наиболее важные угрозы. Это может быть еще более сложной задачей, поскольку крупные малые и средние предприятия сталкиваются с нехваткой специалистов по ИТ-безопасности, поэтому все обязанности по управлению безопасностью ложатся на плечи ИТ-отделов. Тем не менее, эти компании сталкиваются практически с теми же угрозами, что и полностью зарекомендовавшие себя предприятия, включая сложные атаки.

В отличие от многих служб анализа угроз, предназначенных для опытных аналитиков безопасности, Kaspersky Sandbox не требует ручных операций для изучения влияния опасных объектов. Когда Kaspersky Endpoint Security для бизнеса или другие решения для защиты конечных точек обнаруживают подозрительный объект, который нельзя отнести к категории вредоносных без глубокого анализа его поведения, они автоматически отправляют его для запуска в «Песочнице Касперского».

Для обнаружения злонамеренных намерений объекта Песочница Касперского проводит поведенческий анализ, собирает и анализирует все артефакты, и, если объект выполняет вредоносные действия, такие как шифрование или загрузка вредоносной полезной нагрузки с использованием эксплойта нулевого дня, Песочница распознает его как вредоносное ПО и сообщает об этом решению для защиты конечных точек для дальнейших действий. Для Kaspersky Endpoint Security для бизнеса возможными автоматизированными действиями могут быть: карантин объектов, уведомления пользователей, проверка критических областей операционной системы или поиск обнаруженного объекта на других машинах в организации для предотвращения распространения угрозы.

Кроме того, Kaspersky Sandbox сохраняет решение о том, является ли объект угрозой, в операционном кеше, расположенном на сервере Kaspersky Sandbox. Благодаря этому, если анализ файла, который уже был запущен в песочнице, запрашивается другой конечной точкой в ​​​​управляемой сети, EPP получает решение из этой общей базы знаний без необходимости повторного сканирования файла. Это ускоряет отклик и снижает нагрузку на серверы виртуальных машин.

Kaspersky Sandbox дополняет уровень защиты, предлагаемый Kaspersky Endpoint Security для бизнеса, дополнительным уровнем безопасности, позволяющим автоматически реагировать на сложные угрозы. Однако с помощью предоставленного API Kaspersky Sandbox можно интегрировать и с другими решениями EPP.

Kaspersky Sandbox обнаруживает и автоматически блокирует сложные угрозы на клиентских устройствах (рабочих станциях, компьютерах, серверах, также называемых «рабочими станциями»).
Если вы приобрели Kaspersky Endpoint Security для бизнеса и Kaspersky SandBox, вы можете подключить свой Artica Proxy, чтобы отправлять загруженные файлы из Artica Proxy на анализ SandBox.

Начиная с Artica 4.30.000000 Service Pack 281, новая функция, называемая коннектором песочницы, позволяет отправлять файлы в песочницу.
коннектор песочницы доступен как для Artica Corporate Edition, так и для Community Edition < /p>

В настоящее время поддерживается только Kaspersky Sandbox.
Мы планируем обеспечить Cuckoo Sandbox интеграцию.
Мы намерены улучшить этот раздел, если пользователи Artica заинтересуются этим методом защиты.
Используйте сайт отслеживания выразить свое мнение и пожелания по данной теме.

¶ Ограничения:

¶ Нет режима реального времени

Ожидается, что сканирование в песочнице займет несколько минут, поэтому функция не может блокировать угрозы в режиме реального времени.
Когда пользователь загружает файл, он дублируется на поле Artica для сканирования в песочнице и ожидает максимум 180 секунд. минут (по умолчанию) для анализа.
При обнаружении угрозы уведомление будет отображаться на веб-консоли Artica или будет отправлено через Syslog/SIEM.
Если файл безопасен, он будет автоматически удалены из файловой системы Artica.

¶ Не более 60 МБ

Файлы, размер которых превышает 60 МБ (не сжатые файлы), не будут отправлены в песочницу.

¶ Быстрый старт

¶ Установите коннектор SandBox

• В меню слева выберите «Служба ICAP» / «Параметры службы».
• Нажмите кнопку "Коннектор [ВЫКЛ]"

• Вы должны увидеть зеленый статус "SandBox Connector" и кнопку "SandBox [ON]"

¶ Установите адрес Kaspersky SandBox

• Нажмите "Коннектор SandBox" в меню слева.
• В разделе «Песочница Касперского» включите параметр «Включить функцию».
• Установите адрес своего Kaspersky Server
• Вы можете настроить отправку файлов в песочницу, выбрав форматы Content-Type в списке расширений.
• Нажмите кнопку "Применить".

¶ Проверка песочницы путем загрузки файла

Не пытайтесь проверить тестовый файл eicar, это текстовый формат, Песочница не предназначена для проверки текстовых файлов.

Kaspersky — один из ведущих антивирусов на рынке. Его используют более 400 миллионов пользователей. Угроза вредоносного ПО все еще существует, и эту технологию можно обойти. в этой статье я объясню, как я обошел корпоративную версию Касперского вместе с их облачной песочницей, когда проводил тестирование на проникновение для компании.

Антивирусные стратегии

большинство антивирусных продуктов используют хэш-подпись в качестве первой линии обнаружения известных вредоносных программ, затем они начинают выполнять статический анализ подозрительного файла на этом этапе, который антивирус ищет (но не ограничивается):

1. любые подозрительные разделы в заголовке PE, я имею в виду под подозрительными, такие как разделы с большим виртуальным размером и почти нулевым размером на жестком диске, которые указывают на то, что в памяти идет процесс распаковки. также, если раздел имеет разрешение на запись и выполнение .
2. любой подозрительный импорт: например, динамическая загрузка, импорт модулей регистрации ключей, импорт модулей шифрования, импорт функций защиты от отладки и т. д.
3. подозрительные ресурсы: если исполняемый файл содержит вредоносные ресурсы.
4. обнаружение зашифрованных полезных данных внутри двоичного файла путем вычисления энтропии для каждого раздела.
5. обнаружение известных полезных нагрузок внутри исполняемого файла и известных методов обхода вредоносных программ, таких как уклонение от завесы и шелтер.

Следует отметить, что даже если антивирус обнаружил один из этих индикаторов, это не означает, что это вредоносный файл! антивирус собирает индикаторы и добавляет их в виде точек, пока не достигнет определенного порога, после чего он может сказать, что это вредоносный файл. вот почему судить о файле только на основе статического анализа недостаточно, и здесь динамический анализ и песочница начинают свою работу.

Динамический анализ может выполняться аналитиками по безопасности/вредоносному ПО или автоматизироваться с помощью изолированных программных сред, чтобы копать глубже и понимать поведение, взаимодействия и собирать признаки компрометации. лучшее из динамического анализа — это то, что вредоносное ПО начинает раскрывать свою цель и распаковывать или расшифровывать зашифрованную полезную нагрузку, сохраненную внутри, что упрощает анализ, чем упакованный код. обычно на этом этапе собираются нижеприведенные источники для выявления злонамеренного поведения вредоносного ПО:

1. доступ к файлам, изменение и создание новых файлов.
2. доступ к реестру, изменение и новые созданные ключи.
3. сетевые подключения к Интернету или новые службы прослушивают подключения.
4. создание дампа памяти для поиска внедрений процессов и известных вредоносных программ после распаковки.
5. запросы доменных имен во время выполнения.
6. законные программы, запускаемые вредоносной программой, такие как cmd.exe и powershell.

Теперь, даже если песочница зафиксировала подключение к Интернету, она не пометит исполняемый файл как вредоносное ПО до тех пор, пока не выполнит поиск в базе данных аналитики угроз, предоставленной компанией AV, на предмет любых известных заражений, связанных с найденным IP-адресом или доменом, если этого не произошло. найти что-либо, то это не сильно повлияет на решение, за исключением случаев, когда это из таких стран, как Россия, Китай и других известных источников угроз, поскольку существует более высокая вероятность того, что вредоносное ПО будет командовать и контролировать.

Обход «Лаборатории Касперского» (конечная точка и онлайн-песочница)

Теперь, когда мы поняли, как работают антивирус и песочница, нам нужно обойти процесс обнаружения, выполнив наименее подозрительные действия, чтобы свести к минимуму вероятность достижения порога обнаружения. ниже будет рассказано, как я это сделал, используя инструменты с открытым исходным кодом и немного программирования.

затем я получил выполнение команды с правами пользователя на цель с помощью веб-оболочки.

после перечисления системы я обнаружил, что она обновлена ​​до последних исправлений, поэтому я не мог использовать локальные эксплойты для повышения привилегий, что не оставило мне другого выбора, кроме как запустить интерпретатор, чтобы иметь больше контроля и использовать передовые методы.я попытался загрузить полезные данные meterpreter, упакованные с известными упаковщиками, такими как Veil-evasion, vm-protect и shellter, но все они были обнаружены касперским, поэтому я приступил к разработке собственной техники обхода, описанной ниже (я не использовал никаких продвинутых технологий):

Первой попыткой было:

1. закодируйте полезную нагрузку с помощью XOR с одним байтом, используя скрипт Python, а затем получите закодированный вывод.
2. сохранить закодированный байт в программе C, которая декодирует полезную нагрузку, чтобы статический анализ не обнаружил полезную нагрузку.

Результат был непредсказуем, так как я получил соединение с машины с доступом администратора, и я был очень счастлив, но через минуту я понял, что это машина с онлайн-песочницей Win7 от Касперского

Вторая попытка заключалась в следующем:

1. закодируйте полезную нагрузку с помощью XOR с одним байтом, используя скрипт Python, а затем получите закодированный вывод.
2. сохранить закодированный байт в программе C (загрузчик вредоносного ПО), которая декодирует полезную нагрузку, поэтому статический анализ не обнаружит полезную нагрузку.
3. встроить законный исполняемый файл Firefox в раздел ресурсов загрузчика вредоносных программ.
4. загрузчик помещает как Firefox, так и декодированные данные во временную папку.
5. создайте новый процесс для запуска исполняемого файла firefox в ресурсах.
6. после запуска Firefox загрузчик вредоносного ПО начнет декодировать полезную нагрузку и запустить ее.
7. это запутает песочницу, так как есть много хороших индикаторов Firefox, поскольку это законный исполняемый файл, а соединения и все, что он делает, уже внесено в белый список, поэтому песочница пометит весь загрузчик вредоносного ПО как обычный исполняемый файл.

используя доступ к системе, я добавил новые привилегии администратора пользователя, с которыми я вошел в систему с помощью удаленного рабочего стола, затем отключил касперского, как показано ниже, затем продолжил пост-эксплуатацию для перечисления пользователей домена и служб Active Directory.

Цель этой статьи — указать на опасность изготовленных на заказ бэкдоров, потому что, как вы видели в статье, я не использовал никаких передовых методов для обхода конечной точки Касперского и песочницы. так что подумайте о реальных злоумышленниках, которые разрабатывают сложный вектор атаки, чтобы проникнуть в ваши организации. Решение состоит в том, чтобы отслеживать и внедрять центр управления безопасностью, который собирает все события от сетевых устройств, решений для защиты конечных точек и устройств безопасности и отслеживает любое подозрительное поведение.

Purple Teamer, программист, который помешан на информационной безопасности и никогда не перестанет учиться. сертифицировано: OSCP, CRTP, DFIRP, DFIRA, CEHV9, CCNA R&S, CCNA Cyber ​​Ops, Splunk Power, SPlunk Core

1 ответ на «Обход Kaspersky Endpoint и Cloud SandBox (реальный случай пентеста)»

Здравствуйте, можете ли вы написать статью об обходе сетевого брандмауэра на серверах Windows?

< бр />

В сфере информационной безопасности песочницы используются для изоляции небезопасной внешней среды от безопасной внутренней среды (или наоборот), для защиты от эксплуатации уязвимостей и для анализа вредоносного кода. У нас в «Лаборатории Касперского» есть несколько песочниц, в том числе песочница для Android. В этой статье мы рассмотрим только один из них, который был настроен под нужды конкретного продукта и стал основой Kaspersky Anti Targeted Attack Platform. Именно эта песочница представляет собой систему анализа приложений Windows, которая помогает автоматизировать анализ и обнаружение вредоносного кода, проводить исследования и оперативно обнаруживать новейшие типы атак.

Существует несколько способов реализации песочницы для динамического анализа вредоносного кода. Например, можно использовать следующие методы:

• Стандартная эмуляция, перехват функций в пространстве пользователя и в пространстве ядра;
• Информация от функций обратного вызова ядра и от различных драйверов фильтров;
• Аппаратная виртуализация.

Также возможны комбинации этих методов.

Практика показала, что реализация полноценной эмуляции является дорогостоящим делом, поскольку требует постоянной поддержки и усовершенствования эмуляции функций API, а также повышенного внимания к методам уклонения от исполнения и обнаружения эмуляции. Перехватчики тоже просуществовали недолго: вредоносное ПО научилось обходить их с помощью относительно простых методов, «научившись» определять, присутствуют ли они, и отказываясь выполнять свою вредоносную полезную нагрузку, чтобы избежать обнаружения.

Методы обнаружения и обхода сплайсинга известны уже много лет — достаточно проверить или отследить прологи популярных API-функций или создать собственные прологи для обхода перехватчика (последний используется крипторами и упаковщиками). Более того, сама технология сплайсинга довольно нестабильна в многопоточной среде. Также очевидно, что в пользовательском пространстве уровень изоляции вредоносного кода от перехватчиков фактически равен нулю, поскольку модифицируется сама операционная система, что очень заметно.

И это еще не все. Чтобы получить результаты выполнения API-функции, необходимо восстановить контроль после ее выполнения, что обычно делается путем перезаписи адреса возврата. Этот механизм также оказался неустойчивым. Однако самой большой головной болью стала попытка перенести подобный механизм в новые операционные системы.

Поэтому, если поставщик решения для обеспечения безопасности заявляет, что его изолированная программная среда использует объединение функций API, принимает события от ядра Windows и является «удивительной, уникальной, необнаруживаемой и дает почти 100% результатов», мы рекомендуем вам избегать их как чумы. . Некоторых поставщиков вполне устраивает такое качество, но не нас.

Принимая во внимание все вышеперечисленные факты (и ряд других), мы реализовали собственную песочницу на основе аппаратной виртуализации. На данный момент это оптимальное решение с точки зрения баланса между производительностью, расширяемостью и изоляцией.

Гипервизор обеспечивает хорошую степень изоляции гостевой виртуальной машины от хоста, обеспечивая контроль над ЦП и ОЗУ. При этом современные процессоры минимально влияют на производительность при использовании виртуализации.

Инфраструктура

Оборудование для нашей песочницы было приобретено в разное время в течение последних лет и до сих пор добавляется, поэтому ее инфраструктура довольно разнообразна. Сегодня у нас развернуто около 75 высокопроизводительных серверов, составляющих четыре узла в трех центрах обработки данных; всего около 2500 виртуальных ЦП. Мы используем различные типы оборудования, от систем M2 и блейд-серверов до систем M5, работающих на Intel Xeon E5, с поддержкой необходимых нам технологий. Одновременно работает до 2000 виртуальных машин.

Служба обрабатывает до четырех миллионов объектов в день в часы пик и около двух миллионов в нерабочее время.

Для доступа в Интернет внутри песочницы используется около 15 каналов, детали которых мы предпочитаем не раскрывать. Исходящий трафик от узла достигает 5 Гбит/с в часы пик и 2 Гбит/с в непиковое время.

Внутренняя структура

Наша песочница состоит из нескольких компонентов, каждый из которых отвечает за определенные функции. Транспортная подсистема взаимодействует с внешним миром, получает команды извне и передает собранную информацию. Есть подсистемы, которые выполняют файловые и сетевые взаимодействия, отслеживают потоки/процессы и ссылки на реестр Windows. Подсистема регистрации собирает входную и выходную информацию функций API. Также в системе есть компонент, эмулирующий действия пользователя. Кроме того, мы включили возможность создавать и использовать плагины, поэтому функциональные возможности могут быть расширены.

Преимуществом нашего решения является его широкий функционал, плюс система логирования может быть установлена ​​на любую операционную систему или на реальное оборудование. Образ гостевой операционной системы можно настроить под нужды клиента.

Наши аналитики также могут создавать специальные подпрограммы для обнаружения на основе собранных артефактов, а также для проведения различных исследований. К таким подпрограммам относятся те, которые работают в песочнице в режиме реального времени.

Обработка объектов и артефакты

В зависимости от типа файла, поступающего на обработку, он будет «упаковываться» компонентом «Обработчик задач» в особый тип пакета, который содержит дополнительную информацию о том, как следует запускать файл, какую операционную систему выбрать, количество времени на обработку и т. д.

После этого другой компонент, Task Executor, выполняет следующие действия:

1. Запускает виртуальную машину;
2. Отправляет файл;
3. Применяет дополнительные настройки к гостевой операционной системе.
4. Выполняет файл;
5. Ждет завершения выполнения;
6. Сканирует и/или передает собранные артефакты.

Следующие артефакты собираются песочницей «Лаборатории Касперского»:

• Журнал выполнения программы (все вызовы функций API со всеми параметрами плюс некоторые события);
• Дампы различных диапазонов памяти, загруженных модулей и т. д.;
• Все типы изменений в файловой системе и системном реестре;
• файлы PCAP, содержащие сетевые данные;
• Скриншоты.

Подсистема регистрации

Центральным механизмом песочницы «Лаборатории Касперского» является подсистема логирования, реализующая метод неинвазивного перехвата вызываемых API-функций и возвращаемых значений. Это означает, что подсистема способна «приостанавливать» поток исследуемого процесса в те моменты, когда он вызывает API-функцию или возвращает из нее, и синхронно обрабатывать это событие. Все это происходит без каких-либо модификаций кода.

Для каждой страницы виртуального адресного пространства мы вводим атрибут ассоциации этой страницы с известным модулем DLL (KM). В любой момент времени для конкретного потока исполняемыми являются либо страницы с установленным атрибутом KM, либо те страницы, на которых он не установлен, но никогда оба одновременно. Это означает, что при попытке вызова функции API управление делегируется странице KM, которая в этот момент не является исполняемой в соответствии с вышеуказанным правилом. Процессор генерирует исключение, результатом которого является выход в гипервизор, и это событие обрабатывается. Прямо противоположное происходит, когда функция API возвращает управление.

Левая часть приведенной выше диаграммы представляет собой память типичного процесса: области, выделенные красным цветом, — это области, в которых выполнение инструкций отключено, а области, выделенные зеленым цветом, — области, в которых выполнение инструкций разрешено. Справа на диаграмме показан один и тот же процесс в двух состояниях: выполнение разрешено в системных библиотеках или где-то еще, но никогда не в обоих состояниях одновременно. Соответственно, если вы научитесь делать все адресное пространство пользовательского режима красным в нужный момент, вы сможете ловить возвраты от системных вызовов.

Чтобы все это работало, вводятся копии исходных таблиц страниц адресного пространства. Они используются для преобразования виртуального адреса в физический адрес. В одной из копий страницы с атрибутом КМ являются исполняемыми, а страницы без атрибута КМ — неисполняемыми. В другом экземпляре все наоборот. Каждая запись в такой таблице соответствует определенной странице виртуального адресного пространства и, среди прочего, имеет атрибут NX, сообщающий процессору, может ли он выполнять инструкции на этой странице. Приведенное выше правило определяет содержимое этого атрибута в зависимости от копии и ассоциации страницы с KM. Для поддержания актуальности копий таблиц страниц в подсистеме есть модуль, который синхронно реагирует на изменения исходного адресного пространства и в соответствии с нашими правилами вносит эти изменения в копии адресных пространств. Между тем операционная система не знает о том, что работает на копиях исходного адресного пространства, и для нее все прозрачно.

Защита от уклонения

Современное вредоносное ПО использует множество методов, чтобы уклониться от выполнения кода, который может выявить вредоносную активность.

Наиболее часто используются следующие методы:

• Обнаружение виртуальной среды выполнения (песочницы, эмулятора и т. д.) по косвенным признакам;
• «Целенаправленное» выполнение: вредоносная активность выявляется только в том случае, если программа запускается в правильной/требуемой среде выполнения, в определенное время и т. д.

Если вредоносный код обнаружит исследовательскую среду, может произойти следующее (или больше):

• Мгновенное завершение;
• Самоуничтожение;
• Выполнение бесполезного участка кода;
• Выполнение безопасного участка кода;
• Попытаться скомпрометировать обнаруженную исследовательскую систему;
• Другое.

Если система не соответствует требуемым параметрам, вредоносная программа может выполнить любое из вышеперечисленных действий, но, скорее всего, уничтожит себя, чтобы не оставить следов в системе.

Разработчикам песочницы следует уделять особое внимание методам обхода, и «Лаборатория Касперского» не является исключением. Мы узнаем об этих методах из различных источников, таких как публичные презентации, статьи, инструменты с открытым исходным кодом (например, Pafish) и, конечно же, из анализа вредоносного кода. Наряду с постоянными улучшениями, которые мы вносим в нашу песочницу, мы также внедрили автоматическую рандомизацию различных параметров гостевой среды, чтобы снизить вероятность уклонения от исполнения.

Методы обхода Убежища 7

В результате утечки из Убежища 7 мы обнаружили следующую информацию о потенциальном методе уклонения от выполнения кода в нашей песочнице:

«Троянец Upclicker (по сообщениям eEye) использует API SetWindowsHookExA с параметром WH_MOUSE_LL, чтобы дождаться, пока пользователь отпустит левую кнопку мыши (WM_LBUTTONUP), прежде чем выполнять какие-либо вредоносные функции (затем он внедряется в Explorer.exe). Среда песочницы, которая не имитирует действия мыши (вероятно, большинство из них), никогда не будет выполнять вредоносное поведение. Вероятно, это эффективно против Касперского и других».

Это было интересное предположение, поэтому мы сразу же его проверили. Мы реализовали консольное приложение (исходный код прилагается, так что читатели могут использовать его для проверки своих песочниц), и неудивительно, что функция ExecuteEvil() выполнилась успешно.

Читайте также:

  
• Максимальный обзор Prestigio
  
• Систему хранения файлов можно рассматривать как хранение книг в библиотеке, где
  
• Обзор игрового бессмертия Zet
  
• Как разобрать планшет Prestigio
  
• Как перенести запись с диктофона на компьютер на компьютер