Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) впервые выявили вредоносное ПО, которое при проверке, где оно запускается — в виртуальной среде или на реальном компьютере пользователя, было настроено на распознавание старых версий песочницы PT Sandbox.
Песочницу PT Sandbox используют компании государственного сектора, кредитно-финансовой сферы, промышленности. В структуре продаж Positive Technologies песочница PT Sandbox демонстрирует высокие темпы роста: по итогам первого полугодия 2022 года они выросли на 22% в сравнении с аналогичным периодом предыдущего года.
В начале октября 2022 года специалисты отдела обнаружения вредоносного ПО PT Expert Security Center в ходе ежедневного мониторинга киберугроз встретили файл с актуальным названием Povestka_26-09-2022.wsf. Исследуя его, эксперты выяснили, что образец представляет собой WSF1-файл с обфусцированным кодом на JavaScript. Его задача — провести проверки на наличие виртуальных машин, песочниц, а также антивирусных программ и в случае их отсутствия запустить основную полезную нагрузку2. Если зловред пропустят установленные в компании средства защиты, злоумышленники получат начальную точку закрепления в инфраструктуре и смогут развить атаку внутри инфраструктуры организации.
Атакующим важно понимать, что они получили доступ к реальной рабочей станции в инфраструктуре компании, а не к изолированной виртуальной среде, предназначенной для анализа поведения исполняемых файлов. Для этого во вредоносное ПО встраивают функции обнаружения и обхода средств защиты и виртуализации. По данным Positive Technologies, чаще всего для выявления сетевых песочниц злоумышленники отправляют WMI3-запросы (25% ВПО) либо реализуют иные проверки окружения (33%), а также проверяют список запущенных процессов (19%). Изученная специалистами компании вредоносная программа имеет интересный способ обнаружения виртуальных сред, заточенный конкретно под PT Sandbox.
«Это первый известный нам случай попытки уклонения вредоносного ПО от обнаружения PT Sandbox. Зловред ищет специальную папку, которая, по мнению злоумышленников, может косвенно указать на факт выполнения в среде нашей песочницы. Если результат проверки будет положительным, образец завершит работу. Такой сценарий был возможен лишь для старых версий PT Sandbox и сегодня уже не актуален, — комментирует Александр Тюков, специалист отдела обнаружения ВПО PT Expert Security Center. — PT Sandbox умеет хорошо скрывать свое присутствие, чтобы не дать зловредам преждевременно прекратить свою работу и позволить песочнице собрать как можно больше информации для реагирования на киберугрозу и последующего расследования».
PT Sandbox поддерживает гибкую настройку виртуальных сред с учетом особенностей реальных рабочих станций и учитывает техники обхода песочниц: с каждым релизом продукт пополняется новыми механизмами, позволяющими выявлять среди прочего и проводимую вредоносным ПО разведку. Так, например, PT Sandbox поддерживает технологии обмана (deception-технологии), направленные на создание ловушек для вредоносов. Приманки, имитирующие в виртуальной среде настоящие файлы, процессы или данные, провоцируют вредоносные программы на активные действия и тем самым помогают раскрыть присутствие злоумышленников.
- Файл сценария Windows (Windows script file, WSF) представляет собой текстовый документ, содержащий XML-код. Файлы с этим расширением полностью или частично поддерживаются операционными системами Windows, Mac и Linux и могут открываться как на персональных компьютерах, так и на мобильных устройствах.
- Полезная нагрузка (payload) — действия, которые на устройстве жертвы выполняет вредоносное ПО.
- Запросы WMI (Windows Management Instrumentation) используются для обращения к устройствам, учетным записям, сервисам, процессам, сетевым интерфейсам и другим программам.