Как песочницы помогают бизнесу противостоять кибератакам

Песочницы бывают разными, но у всех подобных решений есть общая черта — изолированность от внешней среды, то есть от остального периметра компании. Например, в ИТ-разработке песочницы используются в тестировании, чтобы баги и непроверенные фичи сразу не утекали в прод. В контексте ИБ продукты класса sandbox отвечают за проверку файлов, ссылок и скриптов на потенциальную вредоносность в изолированной среде. 

Многие компании ограничиваются антивирусом, он ищет вредоносные шаблоны в файлах и процессах (строки кода, фрагменты данных, скомпилированные последовательности и т. д.) и сопоставляет полученную информацию с информацией из баз данных. Это статический анализ, и он хорошо подходит для быстрого обнаружения известных вирусов. Однако любой антивирус злоумышленники могут обмануть.

Здесь на помощь приходят песочницы: они дают большую достоверность в оценке ВПО, поскольку, помимо статического, в них также применяется динамический анализ (поведенческий). Мы запускаем объект в песочнице, отслеживаем его поведение и фиксируем все, что происходит в ОС. В процессе получаем логи, которые говорят о том, что делает конкретный файл в системе за определенный период времени. Только после этого можно вынести обоснованный финальный вердикт: перед нами легитимный файл или вредонос.

Отмечу, что для максимальной эффективности песочницу нужно интегрировать с другими СЗИ: EDR (Endpoint Detection and Response), межсетевыми экранами: как NGFW (Next Generation Firewall), так и WAF (Web Application Firewall), NTA-системами и т. д. Кроме того, ее можно использовать как инструмент расследования в режиме Threat Hunting для построения эшелонированной защиты. 

Недавно мы опубликовали исследование по ВПО. На первом месте в рейтинге вредоносов оказался шпионский софт. Например, кейлоггер Snake, вытягивающий информацию, которую пользователи вбивают на клавиатуре. Или Agent Tesla, который регулярно делает скриншоты с ПК жертвы. Это тот самый кибершпионаж, о котором периодически пишут на Anti-Malware, SecurityLab и даже в федеральных СМИ.

Кроме того, с помощью песочниц можно обнаружить ВПО для удаленного доступа (Remcos, NanoCore и т. п.), шифровальщики, всевозможные трояны, майнеры и др. При этом «обертки» вредоносов могут быть разными: PDF-файлы, пакеты установки в Linux, фишинговые ссылки в письмах и др.

Песочницы часто отлавливают 0-day, но такие истории не всегда становятся публичными. В большинстве пилотов мы даже за месяц находим не только новые виды ВПО, но и модифицированные вредоносы пятилетней давности, которые другие средства защиты пропускали.

Приведу пару интересных примеров ВПО, которое мы нашли в прошлом году: 

• Tango-Delta от АРТ-группировки Lazarus: пытается завершить процессы защиты (в частности от McAfee)
• Другое ВПО, тоже семейства Lazarus: отключает службу уведомлений (по сути, вырубает защиту)

Основная задача песочниц — находить неизвестное ВПО, сигнатуры которых еще не знакомы производителям антивирусов. Поэтому важно развивать в песочницах именно поведенческие детекты.

Первый этап — доставка файла. Транспорт может быть разным: ручная загрузка (drag-and-drop), разные API-коннекторы и т. д. Например, при использовании почтового агента он сам подключается к серверу и забирает подозрительное письмо со всеми вложениями. А в случае с межсетевыми экранами можно использовать протокол ICAP, который позволяет извлекать файлы из трафика. К слову, иногда злоумышленники изобретают такой маршрут доставки, что нам приходится хорошенько подумать, как доставить подозрительный файл в песочницу.

Следующий этап — статический анализ (занимает буквально секунды). Для решения этой задачи используются антивирусные движки. К примеру, в PT Sandbox их несколько: российский  антивирус NANO; белорусский антивирус VBA 32; правила, разработанные экспертным центром безопасности Positive Technologies  (PT ESC); open source.

Для снижения нагрузки на поведенческий анализ, можно устанавливать разные настройки предфильтрации. Так, в зависимости от типа файла мы можем определить, в какой среде он будет развернут и сколько времени потребуется на проверку. Допустим, RPM или DEВ закидывать в Windows бессмысленно — их нужно поместить в соответствующую Linux-среду: Astra, РЕД ОС, Базальт (ALT Linux) и т. д. 

Затем начинается поведенческий анализ, во время которого песочница классифицирует легитимное и вредоносное поведение файла. Все как на страшном суде: на чашах весов оказываются грехи и добрые дела, а в результате выносится вердикт :) Чтобы он был справедливым, важно регулярно обновлять экспертные правила. 

На выходе из песочницы мы получаем отчет из двух частей: 

• Светофор с оценкой файла: красный (вредоносный), желтый (подозрительный) или зеленый (безопасный);
• Полный лог поведения файла (древо процесса): куда и зачем он обращался, на что и сколько времени тратил и т.д. Плюсом идет видеозапись действий на рабочей станции.

Унифицированных стандартов здесь нет и, скорее всего, не будет, так как все зависит от специфики бизнес-процессов компании, должностных обязанностей сотрудников, SLA и т. д. Хорошая песочница должна справляться с проверкой за пару минут: меньше не получится, иначе вердикт будет недостоверным. При этом клиентский менеджер в банке, к примеру, столько ждать не может (для него и 30 секунд — слишком долго), поэтому песочницы могут работать в разных режимах.

Первый — режим мониторинга. В этом случае файлы не задерживаются и сразу летят к пользователям, а если в процессе анализа песочница что-то обнаружит, она оповестит ИБ-специалиста: «Примите изоляционные меры». На бизнес-процессы этот режим не влияет: если менеджер хочет получить письмо за N секунд, он его получит. Но возможно, однажды к нему придет безопасник и заберет рабочую станцию на проверку и очистку.

Второй режим — блокировка. В этом случае в песочнице ставится разрыв почтового трафика: файлы и письма задерживаются до окончания проверки. Если это вредонос, он обезвреживается, и письмо доставляется частично. Либо вообще остается в карантине, а пользователь получает оповещение: «Письмо заражено, ждите дальнейших указаний».

Кроме того, большинство вендоров закладывают в песочницы возможность установки индивидуальных параметров проверки. В зависимости от расширений и адреса назначения файлам можно задавать определенный маршрут и таймаут проверки. Если время истечет, письмо улетит в пользователей, чтобы не мешать бизнесу заниматься собственно бизнесом.

Злоумышленники не стоят на месте и постоянно придумывают, как обходить средства защиты информации, а вендоры — как защититься от техник обхода. С песочницами ситуация аналогичная — вендоры знают о временных ловушках и внедряют в продукт ответные меры защиты. Например, в sandbox есть интерактивный режим, который позволяет проводить ручной анализ объектов с возможностью прокрутки времени. Условно говоря, время в песочнице как бы пойдет быстрее, и вредонос выдаст себя. Однако подобные техники могут «спалить» саму песочницу, и тогда ВПО не запустится. Здесь нужно соблюдать баланс.

Отмечу, что песочницы по аналогии с DLP-системами должны считывать любую подозрительную активность. Пришел документ Microsoft Office с таймером запуска? Действие не вредоносное, но подозрительное. PDF запрашивает права локального администратора? Тоже странно. На каждый файл песочница составляет досье, где из разрозненных подозрительных действий складывается общая картина и выносится вердикт: «Судя по последовательности действий, это вредоносный файл. Пометим красным и на рабочей станции запускать не будем». 

Да, они уже стали неотъемлемой частью СЗИ, в том числе песочниц. Мы внедрили в PT Sandbox ML-механизмы, которые ищут в поведении файлов закономерности, характерные для определенных семейств вредоносов. 

Почему это важно? В качестве примера возьмем поведенческий анализ. ИБ-эксперты изучают вредоносы и пишут сигнатуры, по которым песочницы детектируют ВПО. Вроде бы все отлично, но, как в том анекдоте, есть нюанс. А что, если правило еще не написано или злоумышленники радикально изменили ВПО? Получается, мы не обнаружим атаку? Есть два выхода: смягчать критерии сработки или писать еще больше правил (условно говоря, для каждого вредоноса — свое). В первом случае мы получим тонну ложных срабатываний, а во втором придется обновлять правила чуть ли не каждый час. Выйти из этого тупика как раз и помогает машинное обучение. Анализируя данные об активности ВПО, ML-модели могут самостоятельно принимать решения и выявлять вредоносы, обогащая разработанные ИБ-экспертами правила.

Все песочницы делятся на работающие, сертифицированные и дешевые :) А если серьезно, есть три фактора, которые стоит учитывать при выборе решения.

Первый — качество детектирования ВПО. На него влияют и глубина анализа поведенческой проверки, и возможности уклонения от anti-evasion обхода, и экспертиза самого вендора. Важный момент — частота обновления продукта. Новые вредоносы появляются постоянно, соответственно, и правила детектирования должны обновляться регулярно. Нет смысла тратить деньги на песочницу, если она работает на уровне антивируса. В PT Sandbox данные о новых вредоносах поступают за 2,5 часа. Спасибо нашему экспертному центру безопасности PT Expert Security Center за это.

Второй фактор — производительность, то есть стабильная работа на потоке. Многие зарубежные вендоры сознательно жертвуют глубиной анализа, чтобы поднять производительность системы до десятков тысяч файлов в час. Здесь важно соблюдать баланс между производительностью и достоверностью вердиктов, иначе есть риск получить быстрое, но неэффективное решение.

Наконец, третий фактор — интеграция с максимально возможным количеством источников. Почта, офисные пакеты, межсетевые экраны, NTA, файловые хранилища — песочница должна уметь ко всему этому подключаться.

Я мог бы еще долго говорить про возможности современных песочниц на примере PT Sandbox. Так, у нас остался целый блок реальных кейсов, как PT Sandbox защищает российские компании от вредоносного ПО.

Хотите узнать эти истории от первого лица — у компаний, которые успешно работают с продуктом, — приходите на митап кейсов по сетевой безопасности NetCase Day от Positive Technologies 24 сентября в 16:00. Регистрируйтесь по ссылке и увидимся на митапе!