Как в песочнице проверить файл на вирусы
В практике исследования исполняемых файлов с возможным вредоносным функционалом имеется богатый арсенал инструментария — от статического анализа с дизассемблированием до динамического анализа с отладчиками. В настоящем обзоре я не буду пытаться дать информацию по всем возможным приёмам, поскольку они требуют некоторых специфических знаний, однако я хотел бы вооружить неискушённого пользователя набором приёмов, которые позволяют довольно быстро провести анализ неизвестного файла.
Итак, ситуация: у нас есть странный файл с подозрением на вредоносность, при этом существующий мультисканеры типа VirusTotal не дают никакой информации. Что же делать?
ОНЛАЙН-ПЕСОЧНИЦЫ
В сети имеется ряд проектов по информационной безопасности, реализующий свои решения в качестве отдельно работающих виртуализированных систем для исполнения кода с последующим анализом произведённых изменений. Как правило, у этих проектов имеются онлайн-версии таких систем с бесплатным использованием. Вы можете благополучно загрузить подозрительный файл и через некоторое время получить полную информацию о том, что он делает, будучи запущен в системе.
ThreatExpert
Система ThreatExpert осуществляет сравнение снимков системы до и после запуска, а также перехват некоторых API в ходе выполнения кода. В результате, Вы получаете отчёт со следующей информацией:
• Какие новые процессы, файлы, ключи реестра и мутексы были созданы в ходе выполнения кода.
• C какими хостами и IP проводилось соединение, также приводятся шестнадцатеричные и ASCII-дампы данных обмена.
• Имеется ли детект популярных антивирусов на присланный файл и файлы, созданные в ходе выполнения.
• Какова возможная страна происхождения кода на основании языковых ресурсов и прочих следов, найденных в коде.
• Возможная категория угрозы (кейлоггер, бэкдор и т.д.) и её уровень.
• Скриншоты новых окон, если таковые были отображены в ходе выполнения.
Возможна регистрация на сайте, в таком случае история всех Ваших анализов будет сохранена, и Вы в любой момент можете её вызвать. Возможна установка программы Submission Applet и автоматическая отправка файлов на анализ из контекстного меню Проводника.
CWSandbox — разработка University of Mannheim, которые продают эту систему. Однако, анализ можно провести в онлайн бесплатно.
Особенностью этой песочницы является то, что анализ выполняется в результате инжектирования библиотеки песочницы в исполняемый код и перехвата всех API-вызовов. Понятно, что если выполняется вызов нативных API либо работа в режиме ядра, песочница не работает. Тем не менее, благодаря тому, что проводится анализ реально работающего файла, CWSandbox иногда даёт большую информпцию, чем все остальные.
Бесплатная онлайн версия имеет ряд ограничений, по сравнению с коммерческой:
• Возможен анализ только РЕ-файлов. Платная версия позволяет анализировать BHO, zip-архивы, документы Microsoft Office.
• В бесплатной версии возможна только загрузка через веб-интерфейс. В платной возможен прим файлов на анализ по почте, через honeypot и др.
• В платной версии возможен выбор проведения анализ в виртуальной среде или на реальной системе.
• Коммерческая версия включает в себя анализ файлов, скачиваемых в ходе выполнения кода, созданный в системных папках или инжектированных в другие процессы.
Anubis
Anubis — один из самый распространённых вариантов песочницы, ставший популярный благодаря исчерпывающему содержанию отчётов и скорости ответа. Некоторые особенности этой системы:
• Возможность указания URL вместо самого вредоносного файла. В таком случае система загрузит указанный URL в Internet Explorer и проанализирует поведение системы.
• Вместе с исследуемым файлом можно загрузить дополнительные библиотеки (в zip-архиве без пароля или с паролем “infected”). Этот приём очень удобен для анализа вредоносных динамических библиотек (если єто так же интересно — отпишитесь в комментах, можно будет посвятить отдельную статью).
• Отчёт предоставляется в различных форматах — HTML, XML, plain text, PDF, также возможно скачивание полного сетевого дампа, полученного в ходе анализа.
• Возможна загрузка файлов в Anubis посредством SSL (удобно, если вас блокирует антивирус на проксе).
Joebox
И наконец — он. Joebox, Великий и Ужасный. Будучи результатом трудов Стэфана Бульманна, на мой взгляд Joebox — самая мощная система для анализа. Особенностью этой системы является то, что она единственная осуществляет перехваты SSDT и EAT ядра в ходе анализа файлов. С одной стороны, это приводит к потере небольшого количества информации вызовов верхнего уровня (например, создание новых процессов посредством ShellExecute или WinExec), однако с другой стороны позволяет изучать вредоносные файлы, работающие с нативными API или в режиме ядра. Кроме того, Joebox предоставляет следующие возможности в анализе:
• Joebox поддерживает загрузку и изучение поведения исполняемых файлов, DLL, драйверов ядра, документов Microsoft Word, PDF-файлов и др.
• Вы можете выбрать среду выполнения кода:Windows XP, Windows Vista, или Windows 7.
• Вы можете выбрать выполнение кода в виртуальной среде либо на реальной системе (в последнем случае реализуется решение на базе FOG)
• Возможно получение полного дампа сетевого трафика, накопленного в ходе анализа.
• Имеется поддержка модулей популярных песочниц amun и nepenthes для автоматической загрузки новых образцов из песочниц в Joebox.
• Имеется поддержка скриптов AutoIT19 для организации контролируемой среды выполнения вредоносных файлов в Joebox.
Особенную важность, на мой взгляд, имеет именно поддержка скриптового языка. На сайте проекта имеется описание возможных функций и их толкование, укажу только на наиболее популярные.
1. Предположим, вредоносный код проверяет путь, по которому расположен файл, и выполняется только в случае нахождения «там где надо». Решается простым скриптом:
Script
_JBSetSystem(“xp”)
; анализ будет проведён в Windows XP
_JBStartAnalysis()
; Начало анализа
_JBStartSniffer()
; Запуск сетевого сниффера
$NewFile = @SystemDir & “/” & “malware.exe”
FileCopy(“c:\malware.exe”, $NewFile, 1)
; копируем подозрительный файл в системную папку
FileDelete(“c:\malware.exe”)
; удаляем файл с исходного пути
Run($NewFile, @TempDir, @SW_HIDE)
; и выполняем его
Sleep(120)
; ждём 120 секунд
_JBStopSniffer()
; останавливаем сниффер
_JBStopAnalysis()
; и завершаем анализ
EndScript
Точно так же можно анализировать BHO — достаточно прописать нужные ключи в реестр. Однако часто возникает проблема: AppInit_DLLs справедлив только для вновь созданных процессов, как быть, если инжект нужно сделать в explorer.exe? Для этого подойдёт следующий скрипт:
Script
Func KillProcess($process)
Local $hproc
Local $pid = ProcessExists($process)
If $pid = 0 Then
Return
EndIf
$hproc = DllCall(
“kernel32.dll”, “hwnd”, “OpenProcess”,
“dword”, BitOR(0x0400,0x0004,0x0001),
“int”, 0, “dword”, $pid)
If UBound($hproc) > 0 Then
If $hproc[0] = 0 Then Return
Else
Return
EndIf
$hproc = $hproc[0]
Local $code = DllStructCreate(“dword”)
$ret = DllCall(
“kernel32.dll”, “int”, “TerminateProcess”,
“hwnd”, $hproc, “uint”, DllStructGetData($code,1))
Return
EndFunc
_JBSetSystem(“xp”)
_JBStartAnalysis()
_JBStartSniffer()
$NewFile = @SystemDir & “/” & “malware.dll”
FileCopy(“c:\malware.dll”, $NewFile, 1)
RegWrite(
“HKLM\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows”,
“AppInit_DLLs”, “REG_SZ”, “malware.dll”)
KillProcess(“explorer.exe”)
; убиваем процесс, который автоматически будет перезапущен winlogon.exe
Sleep(10000)
_JBStopSniffer()
_JBStopAnalysis()
EndScript
3. Если необходимо, чтобы обращение в сеть происходило из определённой страны, можно сконфигурировать прокси в выполняемой среде Joebox:
Script
_JBSetSystem(“xp”)
_JBStartAnalysis()
_JBStartSniffer()
$ProxyServer = “1.2.3.4:8080”
; определяем нашу проксю
RegWrite(
“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”,
“ProxyServer”, “REG_SZ”, $ProxyServer)
RegWrite(
“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”,
“ProxyEnable”, “REG_DWORD”, 1)
; и включаем её в настройках
_JBLoadProvidedBin()
Sleep(10000)
_JBStopSniffer()
_JBStopAnalysis()
Безусловно, наличие такой гибкости и богатства возможностей делает Joebox одним из самых востребованных песочниц — и в этом его худшая сторона. Мне приходилось ждать иногда по несколько дней, пока придёт результат анализа. Что же, авторы предлагают купить свою собственную копию этой замечательной песочницы, но довольно за дорого. Как же построить свою собственную систему для анализа файлов без особенных затрат — об этом будет в следующей статье, если, конечно, Хабраобщество одобрит этот опус и у меня окончательно не растает карма ;)
Интернет просто кишит вирусами. Они могут быть под видом полезных программ, или даже могут быть встроенны в рабочую нужную программу. (Довольно часто можно встретить в взломанных программах, так что ко взломанным программам стоит относится с недоверием, особенно если скачиваете с подозрительных сайтов). Вот вы поставили програмку а в компьютер вам бонусом поставилось что то ещё ( в лучшем случае программы для скрытого серфинга или майнеры) а в худшем ратники, бэкдоры, стилеры и прочая пакость.
Есть 2 варианта если вы не доверяете файлу.
— Запуск вируса в песочнице
— Использование виртуальных машин
В этой статье мы рассмотрим 1-й вариант — песочница для windows .
Программа позволяет запустить файл в специально-выделенной области, за пределы которой вирусы не могут вырваться и навредить компьютеру.
Вы можете скачать программу бесплатно. Но, после 2х недель использования будет повляться при влючении табличка о предложении купить подписку, и программу можно будет запустить через несколько секунд. Но программа все равно остаётся вполне работоспособной. Установка не вызовет затруднений. Да и сам интерфейс довольно простой.
По умолчанию программа будет запускаться сама при включении компьютера. Если программа запущена, появится значок в трее. Если нет следует запустить в Пуск-Все программы-Sandboxie- Управление sandboxie.
Самый простой способ запустить программу в песочнице, это щелкнуть правой кнопкой мыши по файлу запуска или по ярлыку нужной программы, и в меню вы увидите надпись «Запустить в песочнице» кликаете и запускаете. Выбираете нужный профиль в котором запустить и нажимаете OK. Всё, нужная программа работает в безопасной среде и вирусы не вырвутся за пределы песочницы.
Если в контекстном меню (при нажатии правой кнопкой) не появился запуск в песочнице, переходите в окно программы , выбираете Настроить — Интеграция в проводник Windows — и ставите галочку на два пункта под надписью " Действия — запускать в песочнице.
Вы можете создавать разные песочницы. Для этого нажимаем Песочница — создать песочницу и пишите название новой. Так же в разделе песочница можно удалять старые (рекомендуется).
Более рассматривать в программе нечего. На последок хочу сказать - Берегите свои данные и свой компьютер! До новых встреч
В своем прошлом блоге "Мнение: почему не стоит сидеть на Windows 7 и 8.1 в 2019 году" я поднимал вопросы безопасности в ОС, теперь хочу рассказать еще об одном эффективном способе поднять защищенность вашей системы.
реклама
В версии Windows 10 May 2019 Update появилась крайне полезная функция - Windows Sandbox или песочница. Она представляет собой виртуальную машину, копирующую ваше рабочее окружение. По сравнению с полноценными виртуальными машинами, типа VMware или VirtualBox, у Windows Sandbox есть серьезные плюсы.
Некоторые из них - это скромные системные требования, простота запуска и настройки виртуальной машины. Всего несколько кликов мышью, и Windows Sandbox запущена и работает. Не надо инсталлировать операционную систему в виртуальную машину, все уже скопировано и работает из коробки. Вы попадаете, по сути, в копию своей Windows 10.
реклама
var firedYa28 = false; window.addEventListener('load', () => < if(navigator.userAgent.indexOf("Chrome-Lighthouse") < window.yaContextCb.push(()=>< Ya.Context.AdvManager.render(< renderTo: 'yandex_rtb_R-A-630193-28', blockId: 'R-A-630193-28' >) >) >, 3000); > > >);Сегодня я расскажу вам, как установить, настроить и запускать Windows Sandbox и как с ее помощью осуществлять безопасный и приватный серфинг в интернете даже по вредоносным сайтам, полными вирусов и троянов.
Для чего это может понадобиться? Например, вам надо скачать какую-нибудь древнюю версию редкой программы, которая есть только на подозрительных сайтах. Сама программа может быть безобидной, а вот сайт, с которого она распространяется, может быть забит троянами, вирусами и эксплойтами. Виртуальная машина или песочница Windows позволит вам совершенно спокойно посещать такие сайты, так как она не имеет пересечения с вашей основной ОС. Если и произойдет заражение, то оно будет ограничено виртуальной машиной.
В плане приватности Windows Sandbox может быть в том случае, если вы не хотите, чтобы другой пользователь компьютера видел, по каким сайтам вы лазаете. Например, вы в гостях, или дома компьютером пользуются два-три человека. Серфинг на Windows Sandbox не оставит никаких следов в основной ОС. Как только вы ее выключите - все данные сотрутся. Даже режим "Инкогнито" в браузере не даст такой приватности.
Ну что же, перейдем к практике. Windows Sandbox встроена в Windows 10 May 2019 Update и Windows 10 November 2019 Update редакций Pro или Enterprise.
Для начала в BIOS активируем функцию виртуализации.
Чтобы включить песочницу, вам надо перейти и поставить галочку в "Панель управления" - "Программы и компоненты" - "Включение или отключение компонентов Windows" - "Песочница Windows".
реклама
Можно включить ее и командами PowerShell:
Теперь найдите Windows Sandbox в меню "Пуск", запустите ее и разрешите повышение привилегий.
Теперь можно приступать к интернет-серфингу. В песочнице есть браузеры internet explorer и EDGE.
реклама
Сама песочница внутри себя потребляет 1.3 ГБ.
При желании можно скопировать в нее любой портабельный браузер и пользоваться им, это занимает несколько десятков секунд. Я копирую Comodo Dragon.
Для запуска песочницы и ее настройки удобно использовать программу Windows Sandbox Editor от technet.
Она на английском, но простая и понятная. После ее использования сохранится файл с расширением *.wsb, запуском которого вы будете запускать песочницы с заданными параметрами. Не забывайте включить ускорение посредством GPU в Windows Sandbox, это здорово ускоряет работу с браузером.
Не забывайте, что "Drag and Drop" в окно песочницы не работает, а вот "скопировать" и "вставить" работают. Копирование в случае использования SSD-накопителя происходит довольно быстро. Главное, не забывайте, что все содержимое Windows Sandbox будет уничтожено при закрытии, поэтому надо скопировать информацию в компьютер до выключения.
Итоги
В виде встроенной виртуальной машины Windows Sandbox мы получили не только инструмент проверки подозрительных файлов, но и возможность абсолютного безопасного открытия вредоносных сайтов. Но, не забывайте, что при таком посещении опасных сайтов информация браузера может быть скомпрометирована, поэтому старайтесь не вводить логины и пароли.
Рассматриваемая в данной статье утилита SandboxIE относится к классу так называемых «песочниц». Принцип их работы заключается в том, чтобы ограничить выполнение программы в контролируемой среде с виртуализацией вносимых изменений в систему. Фактически всё, что успеет сделать анализируемая программа во время своей работы, никак не повлияет на нашу систему, так как она будет заключена в виртуальном пространстве памяти. Зато в нашем распоряжении появляются инструменты для анализа вредоносности файла, позволяющие узнать, какие изменения внесёт программа, если она будет работать в обычной среде. В комплексе с SandboxIE мы рассмотрим использование плагина Buster Sandbox Analyzer.
После установки SandboxIE необходимо выполнить несколько настроек. Для этого открываем меню Песочница и выбираем пункт Создать песочницу. Вводим любое название для неё.
После этого правым кликом на созданной песочнице открываем контекстное меню и переходим в настройки.
Теперь желательно выставить следующие параметры для безопасной работы в песочнице:
Поведение – включить опцию Отображать границу вокруг окна. Самым заметным будет, наверное, красный цвет. Цветная рамка будет отображаться вокруг всех окон приложений, открытых через песочницу.
Восстановление – Немедленное восстановление – снять флажок Включить немедленное восстановление. В ветке Быстрое восстановление проверить, чтобы в списке не было ни одной папки.
Удаление – снять все флажки в этом разделе.
Ограничения – Доступ в Internet – удалить из списка все программы. Нежелательно предоставлять доступ в интернет вредоносным программа, так как это чревато утечкой личных данных.
Ограничения – Доступ на запуск/выполнение – нажать кнопку [Разрешить всем].
Ограничения – Доступ низкого уровня – отключить все опции.
Ограничения – Аппаратные средства – снять все флажки. Эти два пункта важны на тот случай, если файл будет заражён низкоуровневым вирусом, чтобы предотвратить возможность проникновения из песочницы в систему.
Сама по себе утилита SandboxIE позволяет оценить вредоносность файла, однако за счёт плагинов можно расширить функциональность программы. И самым полезным в этом плане окажется Buster Sandbox Analyzer. После загрузки плагина в папке, где установлена SandboxIE создаём директорию Buster Sandbox Analyzer и распаковываем в неё содержимое архива. Возможно, для нормальной работы утилиты понадобится скопировать файлы wpcap.dll и Packet.dll из папки PCAP в Windows/System32.
Ещё желательно переименовать файлы LOG_API.DLL и HideDriver.sys в папке Buster Sandbox Analyzer. Теперь открываем меню Настроить – Редактировать конфигурацию и добавляем в разделе BSA следующие строки:
InjectDll=C:\Program Files\SandboxIE\Buster Sandbox Analyzer\sbiextra.dll
InjectDll=C:\Program Files\SandboxIE\Buster Sandbox Analyzer\antidel.dll
InjectDll=C:\Program Files\SandboxIE\Buster Sandbox Analyzer\LOG_API.dll
OpenWinClass=TFormBSA
Конечно же, нужно проверить пути к файлам, чтобы они соответствовали действительным. Сохраняем файл и закрываем текстовой редактор.
В Buster Sandbox Analyzer включаем ручной режим через меню Options – Analysis mode – Manual и включаем опцию Options – Program Options – Windows Shell Intеgration – Add right-click action «Run BSA».
Теперь можно приступать к анализу файла на предмет его вредоносности. Отключаем антивирус и запускаем сначала SandboxIE, а затем вручную файл BSA.EXE. Здесь необходимо проверить, какой путь указан в поле Sandbox folder to check. Чтобы точно узнать его, в SandboxIE открываем меню Песочница – Просмотреть содержимое и в адресной строке копируем путь. Он состоит из буквы диска, на котором установлена программа, имени пользователя и названия песочницы:
С:\Sandbox\Admin\BSA
Остаётся только нажать в Buster Sandbox Analyzer кнопку [Start Analysis].
В SandboxIE правым кликом на песочнице выбираем Запустить в песочнице – Запустить любую программу и выбираем исполнимый файл исследуемого приложения (Просмотр…), обычно он имеет расширение EXE. Запущенный в песочнице файл, хоть и работает как все другие приложения, фактически не видит нашу систему и не может нанести ей вред. Окно приложения из песочницы обрамлено цветной рамкой.
Дальнейшие действия зависят от поставленной задачи. В нижней части окна Buster Sandbox Analyzer отображается лог API-вызовов, а в SandboxIE. По окончании анализа файла закрываем исследуемое приложение и жмём кнопку [Finish Analysis]. В тот же момент становится доступной кнопка [Malware Analyzer], открывающая список обнаруженных угроз. Пункты, напротив которых стоит статус YES, говорят о возможном вредоносном эффекте, обнаруженном при работе приложения.
Дополнительную информацию можно почерпнуть в окне Buster Sandbox Analyzer в меню Viewer. Помимо уже рассмотренного ранее лога API-вызовов (View Log_API) можно узнать, об изменениях, которые программа могла бы внести в реестр Windows. Для этого выбираем пункт View RegDiff. Полный отчёт открывается через меню View Report. Здесь указана общая информация, изменённые файлы, изменения в реестре (с указанием предыдущих значений ключей), а также активность приложения.
Просмотреть список файлов, созданных или изменённых во время работы приложения, можно путём открытия контекстного меню песочницы и выбором пункта Просмотреть содержимое. Файлы и отчёты хранятся вплоть до следующего анализа программы в песочнице.
Ещё более расширить функциональность SandboxIE позволят такие плагины, как Block Process Access для скрытия наличия других процессов вне песочницы от анализируемого процесса и Antidel для предотвращения удаления файлов в ходе работы.
Характеристики:
Язык интерфейса: русский, английский и др.
ОС: Windows XP, Vista, 7
Размер файла: 1,9 Мб
Лицензия: бесплатная, есть возможность оплаты
Читайте также: