Специалисты экспертного центра безопасности Positive Technologies впервые выявили вредоносное ПО, которое было настроено на распознавание старых версий песочницы PT Sandbox. При своем запуске вредонос пытался распознать в какой среде он запускается — виртуальной или реальной. Это необходимо ему было для того, чтобы защититься от различных типов песочниц — инструментов борьбы против целенаправленных атак. Песочницу PT Sandbox используют компании государственного сектора, кредитно-финансовой сферы и промышленности. Видимо для атак на одну из компаний перечисленных секторов и был нацелен вредонос.
Признаки виртуализации
В начале октября 2022 года специалисты отдела обнаружения вредоносного ПО PT Expert Security Center в ходе ежедневного мониторинга киберугроз встретили файл с актуальным названием Povestka_26-09-2022.wsf. Исследуя его, эксперты выяснили, что образец представляет собой WSF-файл кроссплатформенного сценария с обфусцированным кодом на JavaScript. Его задача — провести проверки на наличие виртуальных машин или песочниц, а также антивирусных программ и в случае их отсутствия запустить основную вредоносную программу. При запуске последней в реальной системе заказчика злоумышленники получат начальную точку закрепления в инфраструктуре и смогут развить атаку внутри инфраструктуры организации.
Атакующим важно понимать, что они получили доступ к реальному рабочему месту в инфраструктуре компании, а не к изолированной виртуальной среде, предназначенной для анализа поведения исполняемых файлов, которой является песочница. Для этого во вредоносное ПО встраивают функции обнаружения и обхода средств защиты и виртуализации. По данным Positive Technologies, чаще всего для выявления сетевых песочниц злоумышленники отправляют WMI-запросы (25% ВПО) либо реализуют иные проверки окружения (33%), а также проверяют список запущенных процессов (19%). Изученная специалистами компании вредоносная программа имеет интересный способ обнаружения виртуальных сред, ориентированный конкретно под PT Sandbox.
«Это первый известный нам случай попытки уклонения вредоносного ПО от обнаружения PT Sandbox, — рассказал специалист отдела обнаружения ВПО PT Expert Security Center Александр Тюков. — Зловред ищет специальную папку, которая, по мнению злоумышленников, может косвенно указать на факт выполнения в среде нашей песочницы. Если результат проверки будет положительным, образец завершит работу. Такой сценарий был возможен лишь для старых версий PT Sandbox и сегодня уже не актуален. PT Sandbox умеет хорошо скрывать свое присутствие, чтобы не дать зловредам преждевременно прекратить свою работу и позволить песочнице собрать как можно больше информации для реагирования на киберугрозу и последующего расследования».
Соревнование с хакерами
PT Sandbox поддерживает гибкую настройку виртуальных сред с учетом особенностей реальных рабочих станций и учитывает техники обхода песочниц: с каждым релизом продукт пополняется новыми механизмами, позволяющими выявлять среди прочего и проводимую вредоносным ПО разведку. Так, например, PT Sandbox поддерживает технологии обмана (deception-технологии), направленные на создание ловушек для вредоносов. Приманки, имитирующие в виртуальной среде настоящие файлы, процессы или данные, провоцируют вредоносные программы на активные действия и тем самым помогают раскрыть присутствие злоумышленников. Именно поэтому песочница PT Sandbox демонстрирует высокие темпы роста продаж: по итогам первого полугодия 2022 года они выросли на 22% в сравнении с аналогичным периодом предыдущего года.
