В чем отличие sandbox песочница от эмулятора
Перейти к содержимому

В чем отличие sandbox песочница от эмулятора

  • автор:

Безусловно полезные: обзор средств изолированного запуска приложений в Windows

Кто о чём, а мы сегодня поговорим о песочницах. Но не о тех, в которых играют дети, а о программных, позволяющих выстроить дополнительный эшелон защиты компьютера от вредоносного софта и прочих цифровых угроз

⇣ Содержание

  • Windows Sandbox
  • Microsoft Defender Application Guard
  • Sandboxie
  • SHADE Sandbox
  • 360 Total Security
  • Заключение

Информационной безопасности много не бывает, особенно в нынешних реалиях, когда киберпреступники стремятся быть на шаг впереди новейших средств обнаружения зловредного ПО и используют всё более изощрённые методы хакерских атак. В таких условиях одного лишь установленного на ПК антивируса явно недостаточно. Необходим комплексный подход к обеспечению противодействия современным цифровым угрозам, реализовать который можно с помощью так называемых программ-песочниц (от англ. Sandbox).

Ключевое преимущество Sandbox-приложений — высокий уровень надёжности и безопасности, а также простота использования. Они позволяют буквально в два-три клика разворачивать изолированные среды, в которых можно без опаски запускать любые программы без риска навредить установленной на компьютере операционной системе или повлиять на стабильность её работы. Благодаря этому песочницы можно использовать для запуска недоверенного или потенциально опасного софта, просмотра документов и файлов сомнительного происхождения, а также безопасного веб-сёрфинга в интернете, в том числе для проверки подозрительных электронных писем, ссылок и сетевых ресурсов.

Способов применения технологиям Sandbox можно найти множество. Самое главное — подобрать подходящий инструментарий, определиться с выбором которого поможет наша подборка песочниц для широко востребованной во всём мире платформы Windows.

 Источник изображения: Sentavio / freepik.com

Источник изображения: Sentavio / freepik.com

⇡# Windows Sandbox

Разработчик: Microsoft.
Сайт продукта: microsoft.com/windows.
Стоимость: бесплатно (включена в состав ОС).

Начнём обзор с самого простого и доступного варианта — встроенной песочницы Windows 10/11, поставляемой в комплекте с операционной системой редакций Pro и Enterprise.

В основу Windows Sandbox положены гипервизор Hyper-V и технологии контейнеризации. Как следствие, для запуска песочницы необходим ПК на базе процессора с поддержкой аппаратной виртуализации и объёмом оперативной памяти не менее 4 Гбайт. По умолчанию функция Sandbox отключена в системе. Для её активации необходимо через панель управления открыть меню «Компоненты Windows», выставить галочку напротив пункта «Песочница Windows», дождаться установки необходимых системных файлов и перезагрузить ОС.

Windows Sandbox представляет собой виртуальную машину с облегчённой копией ОС, все вносимые изменения в которую автоматически откатываются при закрытии изолированной среды, и при каждом запуске песочница запускается «с нуля» в чистом виде. Такой подход освобождает от необходимости удалять установленные в виртуальном окружении программы и здорово экономит время.

В отличие от классической виртуальной машины при использовании песочницы нет необходимости заморачиваться самостоятельной установкой, настройкой и лицензированием отдельной копии Windows. Второй важный момент — в Sandbox используется динамически создаваемый образ ОС, который формируется на основе файлов и DLL-библиотек установленной на компьютере системы. Благодаря этому виртуальная машина с песочницей занимает меньше места на диске и потребляет гораздо меньше ресурсов.

Запускать Windows Sandbox можно только в одном экземпляре. Для управления настройками песочницы и защищённой среды (включение/выключение виртуализации графического процессора, поддержки сети, общих папок с хост-системой и буфера обмена данными, запуска скриптов) допускается использование конфигурационных файлов с расширением .wsb. Об особенностях работы с ними можно узнать на этой странице сайта Microsoft.

⇡#Microsoft Defender Application Guard

Разработчик: Microsoft.
Сайт продукта: microsoft.com/windows.
Стоимость: бесплатно (включена в состав ОС).

Если песочницу планируется использовать только для защищённого веб-сёрфинга, то вместо установки Windows Sandbox можно ограничиться модулем Application Guard, функционирующим в связке с антивирусом Microsoft Defender.

Чтобы воспользоваться Application Guard, необходимо в окне «Компоненты Windows» активировать соответствующий пункт меню, дождаться установки системных файлов и перезапустить ОС.

После перезагрузки компьютера в поставляемом с Windows браузере Edge появится возможность запускать интернет-обозреватель в изолированной среде, использующей технологии виртуализации Hyper-V. При включённом режиме Application Guard можно смело открывать любые сайты и не опасаться, что размещённый на них вредоносный код сможет выйти за пределы песочницы и нанести вред системе.

О том, что браузер действительно запущен в изолированном окружении, свидетельствует значок Application Guard на панели инструментов Microsoft Edge.

Помимо Edge песочницу можно использовать в Google Chrome и Mozilla Firefox — для этого необходимо установить в браузер расширение Application Guard, доступное для скачивания в магазине Chrome Web Store и на сайте Firefox Browser Add-ons.

Application Guard также поддерживает интеграцию с пакетом Microsoft 365 и позволяет открывать в безопасной среде офисные документы. Функция крайне полезная, но, увы, доступная только в решениях софтверного гиганта для корпоративного сегмента рынка. По этой причине мы оставляем её за рамками нашего обзора.

⇡#Sandboxie

Разработчик: Дэвид Ксанатос (David Xanatos).
Сайт продукта: sandboxie-plus.com.
Стоимость: бесплатно с лимитированным набором функций (для снятия ограничений предлагается приобрести сертификат стоимостью от $20).

Ещё одно доступное широкой аудитории решение для работы с приложениями в изолированной среде. Отличительными особенностями Sandboxie являются открытый исходный код, поддержка Windows 7/8.1/10/11 и неограниченного количества песочниц, а также огромное множество всевозможных настроек, позволяющих гибко конфигурировать параметры защищённых сред. Наличие на компьютере средств аппаратной виртуализации не требуется, что является несомненным плюсом программы. Кроме того, Sandboxie можно установить как портативное приложение и запускать с флешки на любом компьютере.

С помощью Sandboxie можно создавать списки автоматически запускаемых в песочнице исполняемых файлов, настраивать политики доступа приложений к системным компонентам Windows и ресурсам компьютера, конфигурировать правила встроенного брандмауэра для каждого процесса и осуществлять скрупулёзный мониторинг всех действий программ и вносимых ими изменений. Для каждой из песочниц Sandboxie позволяет закреплять индивидуальный набор настроек. Поддерживается интеграция с рабочим окружением Windows и быстрый запуск приложений в песочнице через контекстное меню проводника. Для наглядности окна «изолированных» программ обводятся жёлтой рамкой.

В отличие от прочих представленных на рынке приложений-песочниц Sandboxie требует грамотного подхода к конфигурированию изолированных сред, и неправильные настройки последних могут серьёзно ослабить защиту от вредоносного софта. По этой причине мы рекомендуем данный инструмент тем, кто хорошо разбирается в IT и досконально знает все тонкости работы операционных систем Windows. Допущенные ошибки могут обойтись очень дорого.

⇡#SHADE Sandbox

Разработчик: SHADE Sandbox LLC.
Сайт продукта: shadesandbox.com.
Стоимость: от $30 (доступна 30-дневная пробная версия продукта).

Песочница, к созданию которой приложил руку наш соотечественник, выпускник государственного университета «Дубна», основатель компании SHADE Sandbox LLC Евгений Балабанов.

SHADE Sandbox имеет аскетичный интерфейс, а само управление программой построено по принципу Drag-and-drop — для включения того или иного приложения в защищённую среду достаточно перенести его ярлык в стартовое окно песочницы. Настроек как таковых практически нет: доступны только средства просмотра виртуальных директорий, выступающих в качестве связующего звена между хостовой ОС и изолированными средами, а также инструменты для быстрой очистки песочниц от файлового мусора. Поддерживается одновременная работа с несколькими защищёнными окружениями и интеграция с проводником Windows. Наличие аппаратной виртуализации для работы с SHADE Sandbox не обязательно, что допускает возможность использования программы на старых ПК.

Comodo Free Antivirus

Разработчик: Comodo Security Solutions.
Сайт продукта: antivirus.comodo.com.
Стоимость: бесплатно.

Антивирусное решение, важная составляющая которого (применительно к нашему обзору) — встроенная песочница. Обычно подобного рода инструменты предлагаются только в коммерческих продуктах, здесь же американская компания-разработчик Comodo Security Solutions сделала приятное исключение.

Comodo Free Antivirus поддерживает одновременную работу со множеством песочниц и позволяет управлять уровнем обеспечиваемой ими защиты. В частности, для изолированных сред можно открывать доступ к определённым файлам и папкам на компьютере, а также к буферу обмена, указанным ключам и значениям реестра Windows. Также допускается настройка автоматического запуска в песочнице приложений, требующих повышенных привилегий в системе либо имеющих низкий рейтинг согласно оценочной шкале антивируса и используемых им облачных аналитических сервисов. Предусмотрена парольная защита песочниц.

Для понимания «внутренней кухни» изолированных сред и просмотра функционирующих в них процессов имеется встроенный диспетчер задач. С его помощью можно анализировать поведение программ, просматривать рейтинг запускаемых ими процессов, блокировать выполнение отдельных исполняемых файлов и решать прочие административные задачи.

В целом Comodo Free Antivirus производит впечатление качественно сделанного продукта. Он бесплатен и при этом не раздражает пользователя навязчивыми рекламными баннерами как иные распространяемые на безвозмездной основе антивирусы. Единственное замечание: в процессе инсталляции программа норовит установить фирменный браузер Comodo Dragon Web Browser — тут необходимо быть внимательным.

Avast Premium Security

Разработчик: Avast Software.
Сайт продукта: avast.com/premium-security.
Стоимость: от $40/год (доступна 30-дневная пробная версия продукта).

Коммерческий антивирус со множеством защитных функций, в числе которых также фигурирует возможность создания безопасных сред. При этом устанавливать весь комплект входящих в Avast Premium Security модулей нет необходимости, можно ограничиться только песочницей — инсталлятор программы допускает такую возможность.

Набор предлагаемых песочницей Avast Premium Security функций довольно скромный: можно блокировать доступ «виртуализованных» приложений в интернет, разрешать перенос данных за пределы изолированного окружения и составлять список автоматически запускаемых в защищённой среде программ.

Для мониторинга запущенных в песочнице процессов предусмотрен простейший диспетчер задач.

Avast Software почти четверть века работает в сфере информационной безопасности, имеет хорошую репутацию, а поэтому в надёжности и практичности программных решений чешского разработчика можно не сомневаться. К сожалению, в свете последних геополитических событий компания приостановила продажу своих продуктов в России и Белоруссии, поэтому приобрести антивирус теперь можно только окольными путями. Скачивание дистрибутивов тоже заблокировано.

⇡#360 Total Security

Разработчик: Beijing Qihu Keji.
Сайт продукта: 360totalsecurity.com.
Стоимость: бесплатно.

Ещё один антивирус, поддерживающий работу с Sandbox-окружениями. Разработан в Китае и в бесплатной версии обвешан баннерами как новогодняя ёлка, — типичное явление едва ли не для всех программных продуктов из Поднебесной империи.

В отличие от упомянутых выше Comodo Free Antivirus и Avast Premium Security программный комплекс 360 Total Security требует поддержки виртуализации на аппаратном уровне — без неё песочница работать не будет. Этот важный момент почему-то не отмечен в прилагаемой к программе документации, но на него следует обращать внимание.

По набору функций песочница 360 Total Security во многом повторяет конкурирующие решения. Можно блокировать доступ в Сеть для изолированных приложений и управлять настройками хранения создаваемых в песочнице файлов. Доступен выбор программ для автоматического запуска в защищённой среде и простейший менеджер задач.

Помимо песочницы и собственно антивируса 360 Total Security несёт в себе ворох программных компонентов сомнительной ценности вроде анализатора дискового накопителя и оптимизатора ОС. Отказаться от этого балласта не представляется возможным, а зазря забивать диск компьютера ненужным софтом — довольно сомнительная затея, на наш взгляд. Видимо, китайские разработчики думают иначе.

⇡#Заключение

Ассортимент Sandbox-приложений для платформы Windows и индивидуальных пользователей нельзя назвать обширным — приходится выбирать из того, что есть. Из приведённых в обзоре песочниц смело можем рекомендовать Windows Sandbox, Microsoft Defender Application Guard и Comodo Free Antivirus (если не смущает «довесок» в виде антивируса). Avast Premium Security тоже неплох, но он платный, и есть трудности с его приобретением. Хорош во всех отношениях Sandboxie, но это продукт профессионального уровня, который может быть интересен скорее IT-гикам, нежели обычным пользователям, привыкшим, чтобы всё работало «из коробки».

Песочница в Windows

Песочница — это новый легковесный инструмент в ОС Windows, позволяющий запускать приложения в безопасном изолированном окружении.

Случалось ли Вам оказаться в ситуации, когда необходимо запустить какую-то программу, но Вы не совсем уверены в источнике её происхождения? Или другой пример — необходимость проверить что-то на «чистой» версии Windows. Во всех подобных случаях раньше был только один выход — установить ОС на отдельную физическую или виртуальную машину и провести нужный эксперимент. Но это больше не так.

Microsoft разработал новый механизм под названием Песочница (eng. Windows Sandbox). Это изолированное временное окружение, в котором Вы можете запускать подозрительное программное обеспечение без риска навредить своему ПК. Любое ПО, установленное в Песочнице, остаётся только в Песочнице и не может взаимодействовать с основной ОС. Как только Вы закрываете Песочницу — всё её содержимое безвозвратно уничтожается.

Вот основные особенности Песочницы:

  • Это часть ОС Windows. Если у Вас Windows 10 Pro или Enterprise, то Вы уже можете начать ею пользоваться.
  • С чистого листа. При каждом запуске Песочницы Вы получаете одно и то же, чистое, неизменное окружение. В точности такое, какой была Ваша ОС сразу после её установки.
  • Никаких следов. При закрытии Песочницы уничтожаются все установленные в ней приложения, все созданные там файлы. Закрыли Песочницу — не осталось никаких следов её существования.
  • Безопасность. Используется аппаратная виртуализация, которая использует гипервизор для запуска отдельного ядра ОС и изолирует его от Вашей основной ОС
  • Эффективность. Используется интегрированный планировщик задач, умное управление памятью, виртуальный GPU.

Системные требования

  • Windows 10 Pro или Enterprise, билд 18305 или выше
  • Архитектура AMD64
  • Включенная в BIOS виртуализация
  • Минимум 4 ГБ (рекомендовано 8 ГБ) оперативной памяти
  • Минимум 1 ГБ свободного места на диске (рекомендуется SSD)
  • Процессор с двумя ядрами (рекомендуется 4 с поддержкой hyper-threading)

Быстрый старт

1. Установите Windows 10 Pro или Enterprise, билд 18305 или выше

2. Включите виртуализацию:

  • Если Вы работаете на физической машине — сделайте это в BIOS
  • Если Вы работаете на виртуальной машине — используйте следующую PowerShell команду:

Set-VMProcessor -VMName -ExposeVirtualizationExtensions $true

4. Запустите Песочницу из меню Пуск. Разрешите повышение прав для её процесса.

5. Скопируйте (через буфер обмена) в Песочницу бинарник, который хотите запустить.

6. Запустите бинарник в Песочнице. Если это инсталлятор — пройдите процедуру установки и запустите установленное приложение.

7. Используйте приложение по назначению.

8. Когда закончите — просто закройте Песочницу. Всё её содержимой будет удалено.

9. Опционально — можете убедиться, что в Вашей основной ОС ничего не изменилось.

Что под капотом у Песочницы

Песочница Windows построена на технологии, которая называется Windows Containers. Контейнеры разрабатывались (и давно используются) для работы в облаке. Microsoft взял уже достаточно зрелую и протестированную технологию и доработал её для пользователей десктопной Windows.

Среди ключевых адаптаций можно отметить:

Динамически генерируемый образ

Песочница является хотя и легковесной, но всё же виртуальной машиной. И, как любой виртуальной машине, ей требуется образ, с которого она может загрузится. Важнейшей особенностью Песочницы является то, что Вам не нужно откуда-то качать или создавать этот образ. Он создастся на лету, из файлов вашей текущей ОС Windows.

Мы хотим всегда получить одно и то же «чистое» окружение для Песочницы. Но есть проблема: некоторые системные файлы могут меняться. Решением было создание «динамически генерируемого образа»: для изменённых файлов в него будут включаться их оригинальные версии, но вот неизменные файлы физически в этот образ входить не будут. Вместо них будут использоваться ссылки на реальные файлы на диске. Как показала практика — такими ссылками будут большинство файлов в образе. Лишь малая их часть (около 100 МБ) войдут в образ полностью — это и будет его размер. Более того, когда Вы не используете Песочницу, эти файлы хранятся в сжатом виде и занимают около 25 МБ. При запуске Песочницы они разворачиваются в тот самый «динамический образ» размером около 100 МБ.

Умное управление памятью

Управление памятью для Песочницы — ещё одно важное усовершенствование. Гипервизор позволяет запускать на одной физической машине несколько виртуальных и это, в общем, неплохо работает на серверах. Но, в отличии от серверов, ресурсы обычных пользовательских машин значительно более ограничены. Для достижения приемлемого уровня производительности Microsoft разработал специальный режим работы памяти, при котором основная ОС и Песочница могут с некоторых случаях использовать одни и те же страницы памяти.

В самом деле: поскольку основная ОС и Песочница запускают один и тот же образ ОС, то большинство системных файлах в них будут одни и те же, а значит нет смысла дважды загружать в память одинаковые библиотеки. Можно сделать это один раз в основной ОС, а когда тот же файл понадобится в памяти Песочнице — ей можно дать ссылку на ту же страницу. Конечно, требуются некоторые дополнительные меры для обеспечения безопасности подобного подхода, но Microsoft позаботилась об этом.

Интегрированный планировщик

В случае использования обычных виртуальных машин гипервизор контролирует работу виртуальных процессоров, работающих в них. Для Песочницы была разработана новая технология, которая называется «интегрированный планировщик», которая позволяет основной ОС решать когда и сколько ресурсов выделить Песочнице. Работает это так: виртуальный процессоры Песочницы работают как потоки внутри процесса Песочницы. В итоге они имеют те же «права», что и остальные потоки в вашей основной ОС. Если, к примеру, у вас работают какие-то высокоприоритетные потоки, то Песочница не будет отнимать у них много времени для выполнения своих задач, которые имеют нормальный приоритет. Это позволит пользоваться Песочницей, не замедляя работу критически важных приложений и сохраняя достаточную отзывчивость UI основной ОС, аналогично тому, как работает Linux KVM.

Главной задачей было сделать Песочницу с одной стороны просто обычным приложением, а с другой — дать гарантию её изоляции на уровне классических виртуальных машин.

Использование «снимков»

Как уже говорилось выше, Песочница использует гипервизор. Мы по сути запускаем одну копию Windows внутри другой. А это означает, что для её загрузки понадобится какое-то время. Мы можем тратить его при каждом запуске Песочницы, либо сделать это лишь раз, сохранив после загрузки всё состояние виртуальной ОС (изменившиеся файлы, память, регистры процессора) на диске. После этого мы сможем запускать Песочницу из данного снимка, экономя при этом время её старта.

Виртуализация графики

Аппаратная виртуализация графики — это ключ к плавному и быстрому пользовательскому интерфейсу, особенно для «тяжелых» в плане графики приложений. Однако, классические виртуальные машины изначально ограничены в возможностях напрямую использовать все ресурсы GPU. И здесь важную роль выполняют средства виртуализации графики, которые позволяют преодолеть данную проблему и в какой-то форме использовать аппаратную акселерацию в виртуальном окружении. Примером такой технологии может быть, например, Microsoft RemoteFX.

Кроме того, Microsoft активно работала с производителями графических систем и драйверов для того, чтобы интегрировать возможности виртуализации графики непосредственно в DirectX и WDDM (модель драйверов в ОС Windows).

В результате графика в Песочнице работает следующим образом:

  • Приложение в Песочнице использует графические функции обычным образом, не зная кто и как будет их выполнять
  • Графическая подсистема Песочницы, получив команды отрисовки графики, передаёт их основной ОС
  • Основная ОС, получив команды отрисовки графики, воспринимает их так, как будто они пришли от локально запущенного приложения и соответствующим образом выполняет их, выделяя и управляя необходимыми ресурсами.

Это позволяет виртуальному окружению получать полноценный доступ к аппаратно акселерируемой графике, что даёт как прирост производительности, так и экономию некоторых ресурсов (например, заряда батареи для ноутбуков) в следствие того, что для отрисовки графики больше не используются тяжелые расчёты на CPU.

Использование батареи

Песочница имеет доступ к информации о заряде батареи и может оптимизировать свою работу для его экономии.

Отзывы и сообщения о проблемах

В любой новой технологии могут быть баги. Microsoft просит присылать сообщения о них и предложения новых фич через Feedback Hub.

Кастомизация песочниц: почему это нужно вам прямо сейчас

Вопрос кастомизации образов песочниц был актуален с момента их появления. Первые версии таких программ были внутренними решениями ИБ-компаний, но уже тогда возникла потребность в кропотливой настройке изолированных машин. И дело было не только в установке вспомогательного ПО для мониторинга состояния системы.

Еще 10 лет назад во вредоносные образцы вшивалась логика сбора и обработки характеристик окружения: имя пользователя и компьютера, домашний или корпоративный домен, права администратора, языковая раскладка, количество ядер процессора, версия операционной системы, наличие антивирусного ПО, признаки виртуализации и даже наличие обновлений в системе. К сегодняшнему дню количество параметров и способов их получения только увеличилось.

Техники вредоносных программ для обхода песочниц

На первых порах подход был достаточно прямолинеен: если ВПО проверяет пользователя с именем test, значит назовем его John; если с помощью ключа реестра SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S выясняем, а не находимся ли мы в виртуальной среде, значит (если возможно) подменим ключ или возвращаемые результаты, перехватив обращение. В результате многочисленных исследований набиралась некая база знаний методов обхода обнаружения, которая затем использовалась при настройке окружения. Годы шли, вирусописатели (и не только) все чаще стали использовать эти знания в своей работе, что в итоге привело к следующему.

Вопрос «А не исследовательская ли это среда?» был заменен на «Интересно ли окружение?». И интерес не в том, чтобы найти следы какого-нибудь FTP-клиента для последующей кражи данных. Вот если это машина сотрудника бухгалтерии, который использует специфичное ПО, — тогда другое дело. Есть и другие подходы: заразить пользователя легковесным загрузчиком, который соберет всю необходимую информацию о системе, отправит на управляющий сервер и… не получит полезную нагрузку в ответ. Неизвестная серверная логика приняла решение, что данная жертва интереса не представляет.

Итак мы видим: песочницы, сконфигурированные по умолчанию, не являются эффективным решением для бизнеса. Атакующие все чаще делают ставку не на самозащиту от обнаружения, а на сужение диапазона поиска интересных целей для дальнейшего развития атаки.

Как мы боремся с ними?

Простыми словами, мы предлагаем изготовить уникальный образ изолированной среды. Цель — воссоздать окружение, максимально похожее на АРМ сотрудника, с заманчивым для злоумышленников доступом: финансовый отдел, билд-сервер для обеспечения непрерывной интеграции при разработке, веб-сервер, машина доменного администратора, в конце концов станция генерального директора.

Конечно, для такой задачи можно выпустить ряд заготовок с соответствующим ПО «на борту», но затем потребуется начинить их конкретными данными, соответствующими отдельно взятой организации: имя домена, используемые ресурсы или приложения, названия и содержания рабочих документов — чем больше нюансов, тем лучше. Иногда окружение нужно тонко настроить, вплоть до версий обновления системы и патчей. В самом простом случае образ можно сделать попросту «дырявым». Однако, если ваш парк IT-инфраструктуры не старше определенных версий, это также можно учесть и исключить множество неактуальных векторов проникновения с использованием определенного числа уязвимостей.

В результате мы получим образ, который неизвестен вирусописателям, действительно представляет для них интерес, и тем самым многократно повысим вероятность обнаружения целевой атаки.

Почему нужно эмулировать работу «живого» компьютера?

Эмуляция действий пользователя — это must-have, без которого песочница теряет эффективность. В каких-то случаях отсутствие действий приведет к обнаружению присутствия в песочнице: например, если курсор мыши длительное время не меняет своего положения, не появляются новые окна, не завершаются приложения или их запущено слишком мало, если во временных каталогах не появляются новые файлы, нет сетевой активности. В других ситуациях это повлияет на работу самого ВПО: например, для его запуска обязательно требуется согласие пользователя включить макросы в офисном документе, либо в процессе работы троян покажет промежуточное диалоговое окно, в котором нужно будет с чем-то согласиться (или от чего-то отказаться), чтобы его работа продолжилась.

Иногда незначительные действия просто необходимы: пользователь должен открыть какой-нибудь документ и что-нибудь записать или скопировать пароль в буфер обмена для дальнейшего ввода — именно в такие моменты может сработать троян-шпион, который перехватит важные данные и отправит на сервер своего автора.

Как это сделано у нас?

Наше решение поэтапно пополняется новыми действиями, которые эмулируют работу живого пользователя. Разумеется, предопределенные последовательности запланированных событий любой сложности никогда не сравнятся с разнообразием реального использования. Мы продолжаем исследовать и улучшать эту сторону продукта, повышая его эффективность.

Помимо вышеописанных функций, стоит отметить фундаментальную особенность: наша песочница относится к классу безагентных. В большинстве решений внутри виртуальной машины присутствует вспомогательный агент, который отвечает за управление состоянием системы, получение и передачу интересных событий и артефактов на хостовый сервер. Несмотря на преимущества в наблюдении и понятный принцип взаимодействия между хостовой и гостевой машинами, у такого решения есть и существенный недостаток: необходимость скрывать и защищать объекты, ассоциированные с агентом, от ВПО. В случае, когда поставщика событий нет, возникает вопрос: а как же тогда получать информацию о том, что происходит внутри виртуальной машины?

Для этого мы используем технологию Extended Page Table (EPT) корпорации Intel. Она представляет собой промежуточные страницы памяти, которые располагаются между гостевой физической памятью и хостовой физической памятью. Вкратце, это позволяет делать следующее:

  • изучить отображение страниц памяти гостевой машины;
  • выделить интересные участки (например, содержащие адреса или код ядерных функций);
  • разметить выбранные страницы таким образом, чтобы права доступа к страницам памяти в EPT не совпадали с правами доступа к страницам в гостевой машине;
  • отловить обращение к размеченным участкам памяти (в этот момент случится ошибка доступа (#PF), в результате гостевая машина будет приостановлена);
  • проанализировать состояние, извлечь необходимую информацию о событии;
  • переразметить страницу памяти в правильное состояние;
  • восстановить работу гостевой машины.

Запуск образца в песочнице и анализ его поведения — лишь одна из составляющих сложного продукта. После запуска сканируется память процессов на наличие вредоносного кода, записывается сетевая активность, которая затем анализируется с применением более 5000 правил обнаружения. Кроме того, представляется возможность расшифровывать защищенные взаимодействия.

Все индикаторы компрометации (IOC), которые удалось выявить в процессе исследования, проверяются по репутационным спискам. Прежде чем пройти динамический анализ, образец отправляется на статическую обработку: проходит префильтеринг на нескольких антивирусах и сканируется нашим собственным движком с детектирующими правилами от специалистов экспертного центра безопасности (PT Expert Security Center). Мы используем разностороннюю экспертизу, в том числе для выявления аномалий в метаинформации и вложенных артефактах образца.

С какими задачами PT Sandbox справляется максимально хорошо и почему?

PT Sandbox объединяет в себе знания и опыт нескольких команд и продуктов для противодействия таргетированным атакам. Несмотря на то, что продукт можно использовать в режиме противодействия угрозам (prevention), все же в первую очередь это средство мониторинга (detection) безопасности IT-систем. Ключевое отличие от классических решений endpoint-защиты в том, что задача PT Sandbox — обратить внимание на аномалии и зарегистрировать ранее неизвестную угрозу.

Автор: Алексей Вишняков, старший специалист группы исследования угроз Positive Technologies

  • информационная безопасность
  • песочницы
  • PT Sandbox

Виртуализируй это! От песочницы до Linux Server

Увлечёнными пользователями часто движет дух исследований и тяга к смелым экспериментам. Порой они требуют дополнительного оборудования или потенциально опасны, поэтому их требуется проводить в изолированной среде. Раньше для этого выделялся отдельный диск, компьютер или сегмент сети, но с развитием технологий виртуализации задача сильно упростилась. Теперь не только опытный администратор, но и домашний пользователь может установить несколько гостевых операционок на виртуальные диски и запускать их в привычной среде Windows.

Различных менеджеров виртуальных машин (ВМ) сейчас доступно свыше полусотни. Мы не будем рассматривать серверные, устаревшие, очень медленные или узкоспециализированные. Сравним лишь популярные версии для Windows, позволяющие экспериментировать без риска и комфортно работать практически с любой гостевой ОС.

Oracle VirtualBox

VirtualBox – один из самых популярных менеджеров виртуальных машин с удобным графическим интерфейсом. Он доступен для Windows, Linux, OS X и Solaris. Программа распространяется по лицензии GPL и исключительно проста в использовании. Изначально её создавала компания Innotek на основе трудов Фабриса Беллера и сложившегося вокруг эмулятора QEMU сообщества. Затем Innotek была куплена Sun, а позже сама перешла к Oracle.

Текущая версия Oracle VirtualBox – 5.0.6. Она поддерживает EFI, NAT, аппаратную виртуализацию, современные интерфейсы, динамическое выделение памяти, шифрование на лету и удалённый доступ.

Kali x64 v.2.0 в VirtualBox.

VirtualBox – бесплатная программа, ставшая стандартом де-факто для знакомства с новыми ОС, тестирования программ и их изолированного запуска. Именно в VirtualBox мы изучали шпионское поведение Windows 7/8.1/10, тестировали предрелизные сборки Acronis True Image 2016 и различные утилиты, а также программы для других ОС, включая мобильные.

В общем случае для софтовых экспериментов нужен только образ гостевой операционки, дистрибутив VirtualBox и набор расширений для гостевой операционной системы, который можно скачать на той же странице официального сайта.

VMware Workstation

Одно из самых популярных решений для виртуализации в корпоративной среде. Компания VMWare была создана в конце девяностых, поглотила множество мелких фирм и заручилась поддержкой таких гигантов, как EMC и Cisco. VMware Workstation – платная программа для управления виртуальными машинами в Windows и Linux. Бесплатно доступен только компонент VMware Workstation Player с ограниченной функциональностью.

Сейчас разработчик делает ставку на облачные сервисы, виртуализацию инфраструктуры и рабочих мест. Однако для домашнего пользователя VMware Workstation Player по-прежнему актуален. В нём легко познакомиться с будущим рабочим местом и обучаться программированию. В сети полно готовых образов серверных виртуалок именно в формате VMware. Впрочем, при необходимости он довольно легко конвертируется в формат VBox и другие.

Oracle Enterprise Linux 6 в VMware Player.

MobaLiveCD + QEMU Simple Boot

Иногда запускать тяжёлые менеджеры вроде VirtualBox и VMware Workstation нет смысла, поскольку требуется выполнить очень простую задачу – например, проверить загрузочную флешку. Можно вручную проверять меню загрузчика GRUB / Syslinux или физически перезагружать компьютер, тестируя каждый пункт мультизагрузки, но есть способ куда проще – использовать специализированный эмулятор.

Основанный на QEMU бесплатный эмулятор MobaLiveCD давно перестал поддерживаться разработчиками, но не теряет актуальности до сих пор. Достаточно указать ему нужную флешку, оптический или внешний диск, и он тут же сымитирует процедуру загрузки с них в отдельном окне. Всё произойдёт буквально в два клика с эмуляцией на лету – без долгих настроек и развёртывания виртуального образа. Если же образ всё же нужно сохранить для последующей работы, то программа создаст его в собственном формате .mlc.

Тестирование мультизагрузочной флешки без перезагрузки.

Аналогичную функцию тестирования флешек и других загрузочных дисков выполняет QEMU Simple Boot, созданный авторами проекта по разработке микро-утилит Sordum. В отличие от MobaLiveCD, он не умеет сохранять виртуальный образ, зато поддерживает расширенные функции. Например, в нём можно задать используемый объём ОЗУ (до гигабайта) или загрузить диск в формате IMA. К тому же, версия эмулятора меняется простой перезаписью подкаталога qemu.

Простая утилита для тестирования загрузочных устройств и образов.

Sandbox

Виртуализация – это не всегда полная эмуляция железа для запуска другой ОС. Это ещё и универсальная технология изоляции одних процессов от других. К примеру, комплексные средства безопасности могут частично виртуализировать отдельные каталоги и ветви реестра, что позволяет запускать выбранные приложения в изолированной среде. Чаще всего таким способом защищают от кражи данных, несанкционированных модификаций реестра, изменений параметров автозапуска и заражения хост-системы.

Попытка загрузить заражённый файл браузером IE в

Comodo Internet Security, Avast! и другие современные антивирусы содержат компонент Sandbox. Эта «песочница» изолирует потенциально опасные программы и не позволяет им выполнять вредоносную активность в операционной системе. Особенно часто она используется для безопасного веб-сёрфинга и выполнения операций в сервисах онлайн-банкинга.

Гипервизор, Sandbox, поведенческий анализатор, виртуальный диск и даже отдельный корневой раздел, монтируемый командой chroot – всё это примеры технологий изоляции с помощью виртуальной среды, которые мы рассмотрим подробнее в следующих статьях.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *