песочница
Авторы массовых троянов прикладывают кучу усилий, чтобы запустить исполнение своего вредоносного кода на компьютере жертвы. Однако создатели сложных угроз и операторы APT-атак затрачивают не меньше ресурсов на создание механизмов, позволяющих не запускать свой код. Так они пытаются обойти защитные технологии, в частности всевозможные «песочницы».
Песочницы и методы их выявления
Один из базовых механизмов выявления вредоносной активности — так называемая «песочница». По сути это контролируемая изолированная среда, в которой исполнение подозрительного кода не может нанести никакого вреда. В то же время защитный продукт анализирует действия программы, и если обнаруживает вредоносную активность, запрещает исполнение кода вне «песочницы».
Против массовых угроз этот метод весьма эффективен. В том или ином виде механизм «песочницы» реализован в большинстве защитных решений. Поэтому злоумышленники уже давно начали встраивать в свои разработки технологии, единственная цель которых — определить, не запущен ли вредонос в контролируемой среде. Самые простые способы — обращение к стороннему серверу (обычный sandbox не даст установить связь) или проверка параметров системы. Если что-то не будет соответствовать нужной злоумышленнику картине, то вредонос, скорее всего, самоуничтожится. Более сложные зловреды пытаются проверить, есть ли в системе пользователь. Ведь если код запустился, а следов активности человека не наблюдается, то это явный признак того, что дело происходит в «песочнице».
Разумеется, мы, в свою очередь, совершенствуем технологии антиуклонения. В частности, у нас в инфраструктуре работает мощная «песочница», вооруженная накопленными «Лабораторией Касперского» знаниями о всевозможной вредоносной активности и механизмами, способными эмулировать разнообразные среды. Частью функций этой «песочницы» исследователи могут воспользоваться удаленно при помощи нашего решения Kaspersky Cloud Sandbox.
Но это не всегда удобно для крупных компаний, в которых работают полноценные центры противодействия киберугрозам. Во-первых, в силу внутренних регламентов или правил, установленных регуляторами, они зачастую не имеют права передавать какую-либо информацию на сторонние серверы. Во-вторых, вредоносы, написанные специально для атаки на конкретные компании, могут проверять какие-нибудь специфичные для конкретной инфраструктуры условия (например, наличие узкоспециализированных программ). Поэтому мы разработали новое решение, которое может быть развернуто внутри корпоративной инфраструктуры: Kaspersky Research Sandbox.
Ключевые особенности Kaspersky Research Sandbox
Kaspersky Research Sandbox не передает ничего из инфраструктуры. При необходимости эта песочница может работать через Kaspersky Private Security Network — систему, функционирующую в режиме дата-диода. Но главное преимущество решения в том, что оно позволяет исследователям создавать собственную среду для эмуляции. Таким образом, они могут создать точную изолированную копию стандартной для их компании рабочей станции и исследовать поведение подозрительных объектов на ней.
Причем технологии Kaspersky Research Sandbox не просто отслеживают все происходящее в этой изолированной среде с помощью инструментов бихевиористического анализа, но и эмулируют работу человека в тестовой системе.
Решение позволяет эмулировать не только системы семейства Microsoft Windows, но и Android. Подробнее о возможностях Kaspersky Research Sandbox можно узнать на странице решения.
