Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) впервые обнаружили малварь, которая настроена на распознавание старых версий песочницы PT Sandbox. Вредонос обнаруживает PT Sandbox во время проверки того, где он запускается — в виртуальной среде или на реальном компьютере пользователя.
Исследователи напоминают, что песочницу PT Sandbox используют компании государственного сектора, кредитно-финансовой сферы, промышленности. В структуре продаж Positive Technologies песочница PT Sandbox демонстрирует высокие темпы роста: по итогам первого полугодия 2022 года они выросли на 22% в сравнении с аналогичным периодом предыдущего года.
Все началось с того, что в начале октября 2022 года специалисты обнаружили файл со злободневным названием Povestka_26-09-2022.wsf. Исследуя его, эксперты выяснили, что образец представляет собой WSF-файл с обфусцированным кодом на JavaScript. Его задача — провести проверки на наличие виртуальных машин, песочниц, а также антивирусных программ и в случае их отсутствия запустить основную полезную нагрузку. Если установленные у компании-жертвы средства защиты пропустят малварь, злоумышленники получат начальную точку для закрепления в инфраструктуре и смогут развить атаку внутри инфраструктуры организации.
При этом атакующим важно понимать, что они получили доступ к реальной рабочей станции в инфраструктуре компании, а не к изолированной виртуальной среде, предназначенной для анализа поведения исполняемых файлов. Для этого в малварь встраивают функции обнаружения и обхода средств защиты и виртуализации. По данным исследователей, чаще всего для выявления сетевых песочниц злоумышленники отправляют WMI-запросы (25% ) либо реализуют иные проверки окружения (33%), а также проверяют список запущенных процессов (19%).
Изученная специалистами компании малварь имела интересный способ обнаружения виртуальных сред, заточенный конкретно под PT Sandbox.
«Это первый известный нам случай попытки уклонения вредоносного ПО от обнаружения PT Sandbox. Зловред ищет специальную папку, которая, по мнению злоумышленников, может косвенно указать на факт выполнения в среде нашей песочницы. Если результат проверки будет положительным, образец завершит работу. Такой сценарий был возможен лишь для старых версий PT Sandbox и сегодня уже не актуален, — комментирует Александр Тюков, специалист отдела обнаружения ВПО PT Expert Security Center. — PT Sandbox умеет хорошо скрывать свое присутствие, чтобы не дать зловредам преждевременно прекратить свою работу и позволить песочнице собрать как можно больше информации для реагирования на киберугрозу и последующего расследования».
В компании отмечают, что PT Sandbox поддерживает гибкую настройку виртуальных сред с учетом особенностей реальных рабочих станций и учитывает техники обхода песочниц. Например, PT Sandbox поддерживает технологии deception-технологии, направленные на создание ловушек для малвари. Приманки, имитирующие в виртуальной среде настоящие файлы, процессы или данные, провоцируют вредоносные программы на активные действия и тем самым помогают раскрыть присутствие злоумышленников.
