Модификация зловредов под известные песочницы: Positive Technologies обнаружила вредоносное ПО, заточенное под обход PT Sandbox

19.10.2022 17:51

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) впервые выявили вредоносное ПО, которое при проверке, где оно запускается - в виртуальной среде или на реальном компьютере пользователя, было настроено на распознавание старых версий песочницы PT Sandbox.

Песочницу PT Sandbox используют компании государственного сектора, кредитно-финансовой сферы, промышленности. В структуре продаж Positive Technologies песочница PT Sandbox демонстрирует высокие темпы роста: по итогам первого полугодия 2022 года они выросли на 22% в сравнении с аналогичным периодом предыдущего года.

В начале октября 2022 года специалисты отдела обнаружения вредоносного ПО PT Expert Security Center в ходе ежедневного мониторинга киберугроз встретили файл с актуальным названием Povestka_26-09-2022.wsf. Исследуя его, эксперты выяснили, что образец представляет собой WSF -файл с обфусцированным кодом на JavaScript. Его задача - провести проверки на наличие виртуальных машин, песочниц, а также антивирусных программ и в случае их отсутствия запустить основную полезную нагрузку. Если зловред пропустят установленные в компании средства защиты, злоумышленники получат начальную точку закрепления в инфраструктуре и смогут развить атаку внутри инфраструктуры организации.

Атакующим важно понимать, что они получили доступ к реальной рабочей станции в инфраструктуре компании, а не к изолированной виртуальной среде, предназначенной для анализа поведения исполняемых файлов. Для этого во вредоносное ПО встраивают функции обнаружения и обхода средств защиты и виртуализации. По данным Positive Technologies, чаще всего для выявления сетевых песочниц злоумышленники отправляют WMI-запросы (25% ВПО) либо реализуют иные проверки окружения (33%), а также проверяют список запущенных процессов (19%). Изученная специалистами компании вредоносная программа имеет интересный способ обнаружения виртуальных сред, заточенный конкретно под PT Sandbox.

"Это первый известный нам случай попытки уклонения вредоносного ПО от обнаружения PT Sandbox. Зловред ищет специальную папку, которая, по мнению злоумышленников, может косвенно указать на факт выполнения в среде нашей песочницы. Если результат проверки будет положительным, образец завершит работу. Такой сценарий был возможен лишь для старых версий PT Sandbox и сегодня уже не актуален, - комментирует Александр Тюков, специалист отдела обнаружения ВПО PT Expert Security Center. - PT Sandbox умеет хорошо скрывать свое присутствие, чтобы не дать зловредам преждевременно прекратить свою работу и позволить песочнице собрать как можно больше информации для реагирования на киберугрозу и последующего расследования".

PT Sandbox поддерживает гибкую настройку виртуальных сред с учетом особенностей реальных рабочих станций и учитывает техники обхода песочниц: с каждым релизом продукт пополняется новыми механизмами, позволяющими выявлять среди прочего и проводимую вредоносным ПО разведку. Так, например, PT Sandbox поддерживает технологии обмана (deception-технологии), направленные на создание ловушек для вредоносов. Приманки, имитирующие в виртуальной среде настоящие файлы, процессы или данные, провоцируют вредоносные программы на активные действия и тем самым помогают раскрыть присутствие злоумышленников.

www.ptsecurity.com

Хроника

Последний вышедший номер

Читайте в номере:

Усовершенствованное управление технологическими процессами: зарождение и развитие, состояние и прогноз рынка, российская составляющая, тренды, проблемы импортозамещения

Обнаружение дефектов металлопроката с помощью модифицированной на основе физически-информированного градиентного анализа функции потерь YOLOv8

Методическое обеспечение САПР технологической оснастки в КОМПАС-3D

Функциональная безопасность и кибербезопасность систем противоаварийной автоматической защиты в составе АСУТП технологических процессов нефтепереработки

Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru

Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.

Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.

В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.

Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.