Анализ методов обхода песочниц вредоносными ПО
Введение
Из-за большого количества новых и существующих вредоносных программ, появляющихся в Интернете, и того факта, что анализ вредоносных программ занимает (очень) много времени, аналитики вредоносных программ не могут вручную проанализировать все свои подозрительные файлы. не причинять вреда [4]. Вместо этого аналитикам приходится полагаться на автоматические средства защиты от вредоносных программ, чтобы позаботиться о большинстве этих подозрительных файлов и тщательно изучить лишь часть из них.
Борьба с вредоносным ПО — сложная задача, поскольку вредоносное ПО постоянно совершенствуется. Ситуация представляет собой гонку вооружений между разработчиками вредоносных программ и аналитиками вредоносных программ, когда разработчики вредоносных программ продолжают разрабатывать методы, которые мешают методам анализа, используемым их коллегами. Традиционные автоматизированные решения для защиты от вредоносных программ, такие как антивирусное программное обеспечение, сосредоточены
Содержание
Введение.........................................................................................................4
1. Виртуальные машины и песочницы........................................................6
1.1 Виртуальные машины………………………………............................6
1.2 Sandbox…...………………………………...…………………..…….....7
1.3 Идентификация виртуальных машин и песочниц ………….……….8
1.4 Процедура анализа песочницы ……………………………………….9
2. Методы «песочницы» и контрмеры …………………………………..12
2.1 Методы против ВМ …………………………………………………..12
2.2 Недостатки общих методов борьбы с ВМ …………………………15
2.3 Основы обнаружения на основе песочницы ………………..……..15
2.4 Обнаружение и захват ………………………………….……………16
2.5 Защита нагрузки ……………………………………………….……..17
2.6 Анализ функционального пролога …………………………………..25
2.7 Как обнаружить активность по исправлению хуков?........................30
2.8 Перехват KiFastSystemCall…………………………………….……..33
2.9 Betabot Подключение…………………………………………………34
Заключение....................................................................................................37
Использованные литературы……………………………………………...38
Приложение...................................................................................................40
Используемая литература:
[1] Paul-Antoine Arras, Anastasios Andronidis, Luís Pina, Karolis Mituzas, Qianyi Shu, Daniel Grumberg, and Cristian Cadar. 2022. SaBRe: load- time selective binary rewriting. International Journal on Software Tools for Technology Transfer (2022), 1–19.
[2] Markus Bauer and Christian Rossow. 2021. Cali: Compiler-Assisted Library Isolation. In ACM Symposium on Information, Computer and Communications Security (ASIACCS).
[3] Adam Belay, Andrea Bittau, Ali Mashtizadeh, David Terei, David Maz- ières, and Christos Kozyrakis. 2012. Dune: Safe User-level Access to Privileged CPU Features. In USENIX Symposium on Operating Systems Design and Implementation (OSDI).
[4] Andrea Bittau, Adam Belay, Ali José Mashtizadeh, David Mazières, and Dan Boneh. 2014. Hacking Blind. In IEEE Symposium on Security and Privacy (S&P).
[5] Andrea Bittau, Petr Marchenko, Mark Handley, and Brad Karp. 2008. Wedge: Splitting Applications into Reduced-Privilege Compartments. In USENIX Symposium on Networked Systems Design and Implementa- tion (NSDI).
[6] Ferdinand Brasser, Lucas Davi, David Gens, Christopher Liebchen, and Ahmad-Reza Sadeghi. 2017. CAn’t touch this: Software-only mitigation against Rowhammer attacks targeting kernel memory. In USENIX Security Symposium.
[7] David Brumley and Dawn Song. 2004. Privtrans: Automatically Parti- tioning Programs for Privilege Separation. In USENIX Security Sympo- sium.
[8] Im Bumjin, Yang Fangfei, Tsai Chia-Che, LeMay Michael, Vahldiek- Oberwagner Anjo, and Dautenhahn Nathan. 2021. The Endokernel: Fast, Secure, and Programmable Subprocess Virtualization. arXiv preprint arXiv:2004.04846 (2021).
[9] Nathan Burow, Scott A Carr, Joseph Nash, Per Larsen, Michael Franz, Stefan Brunthaler, and Mathias Payer. 2017. Control-flow integrity: Precision, security, and performance. ACM Computing Surveys (CSUR) 50, 1 (2017), 16.
[10] Nathan Burow, Xinping Zhang, and Mathias Payer. 2019. SoK: Shining light on shadow stacks. In IEEE Symposium on Security and Privacy (S&P).
[11] Miguel Castro, Manuel Costa, Jean-Philippe Martin, Marcus Peinado, Periklis Akritidis, Austin Donnelly, Paul Barham, and Richard Black. 2009. Fast Byte-Granularity Software Fault Isolation. In ACM Sympo- sium on Operating Systems Principles (SOSP).
[12] Yuan Chen, Jiaqi Li, Guorui Xu, Yajin Zhou, Zhi Wang, Cong Wang, and Kui Ren. 2022. SGXLock: Towards Efficiently Establishing Mutual Distrust Between Host Application and Enclave for SGX. In USENIX Security Symposium.
Ранее вредоносное ПО использовало такие инструкции, как VERR/VERW, для обнаружения наличия программного обеспечения для виртуализации, такого как VMWare.
Обратите внимание, что на более новые версии VMWare это не влияет. Вы также можете укрепить виртуальную среду с помощью этих методов, отключив параметр ускорения, предоставляемый программным обеспечением VMM.
Я написал программу на C, которая использует почти все вышеперечисленные методы для различных программ виртуализации, чтобы обнаружить их присутствие. Он масштабируется и может быть изменен для поддержки большего количества программного обеспечения для виртуализации путем добавления дополнительной информации об артефактах.
Программу можно найти в Приложении I.
Как мы видим, обнаружить наличие виртуальной с