Что такое песочницы и для чего их используют?

Песочницы бывают разными, но у всех подобных решений есть общая черта — изолированность от внешней среды, то есть от остального периметра компании. Например, в ИТ-разработке песочницы используются в тестировании, чтобы баги и непроверенные фичи сразу не утекали в прод. В контексте ИБ продукты класса sandbox отвечают за проверку файлов, ссылок и скриптов на потенциальную вредоносность в изолированной среде. 

В чем преимущества песочниц в сравнении с другими средствами защиты?

Многие компании ограничиваются антивирусом, он ищет вредоносные шаблоны в файлах и процессах (строки кода, фрагменты данных, скомпилированные последовательности и т. д.) и сопоставляет полученную информацию с информацией из баз данных. Это статический анализ, и он хорошо подходит для быстрого обнаружения известных вирусов. Однако любой антивирус злоумышленники могут обмануть.

Здесь на помощь приходят песочницы: они дают большую достоверность в оценке ВПО, поскольку, помимо статического, в них также применяется динамический анализ (поведенческий). Мы запускаем объект в песочнице, отслеживаем его поведение и фиксируем все, что происходит в ОС. В процессе получаем логи, которые говорят о том, что делает конкретный файл в системе за определенный период времени. Только после этого можно вынести обоснованный финальный вердикт: перед нами легитимный файл или вредонос.

Отмечу, что для максимальной эффективности песочницу нужно интегрировать с другими СЗИ: EDR (Endpoint Detection and Response), межсетевыми экранами: как NGFW (Next Generation Firewall), так и WAF (Web Application Firewall), NTA-системами и т. д. Кроме того, ее можно использовать как инструмент расследования в режиме Threat Hunting для построения эшелонированной защиты. 

Какие виды ВПО можно обнаружить с помощью песочниц?

Недавно мы опубликовали исследование по ВПО. На первом месте в рейтинге вредоносов оказался шпионский софт. Например, кейлоггер Snake, вытягивающий информацию, которую пользователи вбивают на клавиатуре. Или Agent Tesla, который регулярно делает скриншоты с ПК жертвы. Это тот самый кибершпионаж, о котором периодически пишут на Anti-Malware, SecurityLab и даже в федеральных СМИ.

Кроме того, с помощью песочниц можно обнаружить ВПО для удаленного доступа (Remcos, NanoCore и т. п.), шифровальщики, всевозможные трояны, майнеры и др. При этом «обертки» вредоносов могут быть разными: PDF-файлы, пакеты установки в Linux, фишинговые ссылки в письмах и др.

Как часто песочницы обнаруживают новые виды вредоносов?

Песочницы часто отлавливают 0-day, но такие истории не всегда становятся публичными. В большинстве пилотов мы даже за месяц находим не только новые виды ВПО, но и модифицированные вредоносы пятилетней давности, которые другие средства защиты пропускали.

Приведу пару интересных примеров ВПО, которое мы нашли в прошлом году: 

Основная задача песочниц — находить неизвестное ВПО, сигнатуры которых еще не знакомы производителям антивирусов. Поэтому важно развивать в песочницах именно поведенческие детекты.

«Нет смысла тратить деньги на песочницу, если она работает на уровне антивируса».

Из каких этапов состоит процесс анализа файла в песочнице?

Первый этап — доставка файла. Транспорт может быть разным: ручная загрузка (drag-and-drop), разные API-коннекторы и т. д. Например, при использовании почтового агента он сам подключается к серверу и забирает подозрительное письмо со всеми вложениями. А в случае с межсетевыми экранами можно использовать протокол ICAP, который позволяет извлекать файлы из трафика. К слову, иногда злоумышленники изобретают такой маршрут доставки, что нам приходится хорошенько подумать, как доставить подозрительный файл в песочницу.

Следующий этап — статический анализ (занимает буквально секунды). Для решения этой задачи используются антивирусные движки. К примеру, в PT Sandbox их несколько: российский  антивирус NANO; белорусский антивирус VBA 32; правила, разработанные экспертным центром безопасности Positive Technologies  (PT ESC); open source.

Для снижения нагрузки на поведенческий анализ, можно устанавливать разные настройки предфильтрации. Так, в зависимости от типа файла мы можем определить, в какой среде он будет развернут и сколько времени потребуется на проверку. Допустим, RPM или DEВ закидывать в Windows бессмысленно — их нужно поместить в соответствующую Linux-среду: Astra, РЕД ОС, Базальт (ALT Linux) и т. д. 

Затем начинается поведенческий анализ, во время которого песочница классифицирует легитимное и вредоносное поведение файла. Все как на страшном суде: на чашах весов оказываются грехи и добрые дела, а в результате выносится вердикт :) Чтобы он был справедливым, важно регулярно обновлять экспертные правила. 

На выходе из песочницы мы получаем отчет из двух частей: 

  • Светофор с оценкой файла: красный (вредоносный), желтый (подозрительный) или зеленый (безопасный);
  • Полный лог поведения файла (древо процесса): куда и зачем он обращался, на что и сколько времени тратил и т.д. Плюсом идет видеозапись действий на рабочей станции.

Насколько затягивается привычный процесс получения файлов при использовании песочниц?

Унифицированных стандартов здесь нет и, скорее всего, не будет, так как все зависит от специфики бизнес-процессов компании, должностных обязанностей сотрудников, SLA и т. д. Хорошая песочница должна справляться с проверкой за пару минут: меньше не получится, иначе вердикт будет недостоверным. При этом клиентский менеджер в банке, к примеру, столько ждать не может (для него и 30 секунд — слишком долго), поэтому песочницы могут работать в разных режимах.

Первый — режим мониторинга. В этом случае файлы не задерживаются и сразу летят к пользователям, а если в процессе анализа песочница что-то обнаружит, она оповестит ИБ-специалиста: «Примите изоляционные меры». На бизнес-процессы этот режим не влияет: если менеджер хочет получить письмо за N секунд, он его получит. Но возможно, однажды к нему придет безопасник и заберет рабочую станцию на проверку и очистку.

Второй режим — блокировка. В этом случае в песочнице ставится разрыв почтового трафика: файлы и письма задерживаются до окончания проверки. Если это вредонос, он обезвреживается, и письмо доставляется частично. Либо вообще остается в карантине, а пользователь получает оповещение: «Письмо заражено, ждите дальнейших указаний».

Кроме того, большинство вендоров закладывают в песочницы возможность установки индивидуальных параметров проверки. В зависимости от расширений и адреса назначения файлам можно задавать определенный маршрут и таймаут проверки. Если время истечет, письмо улетит в пользователей, чтобы не мешать бизнесу заниматься собственно бизнесом.

Как быть с вредоносами с отложенным временем запуска?

Злоумышленники не стоят на месте и постоянно придумывают, как обходить средства защиты информации, а вендоры — как защититься от техник обхода. С песочницами ситуация аналогичная — вендоры знают о временных ловушках и внедряют в продукт ответные меры защиты. Например, в sandbox есть интерактивный режим, который позволяет проводить ручной анализ объектов с возможностью прокрутки времени. Условно говоря, время в песочнице как бы пойдет быстрее, и вредонос выдаст себя. Однако подобные техники могут «спалить» саму песочницу, и тогда ВПО не запустится. Здесь нужно соблюдать баланс.

Отмечу, что песочницы по аналогии с DLP-системами должны считывать любую подозрительную активность. Пришел документ Microsoft Office с таймером запуска? Действие не вредоносное, но подозрительное. PDF запрашивает права локального администратора? Тоже странно. На каждый файл песочница составляет досье, где из разрозненных подозрительных действий складывается общая картина и выносится вердикт: «Судя по последовательности действий, это вредоносный файл. Пометим красным и на рабочей станции запускать не будем». 

«Любой злоумышленник — от студента-новичка до участника именитой АРТ-группировоки — понимает, что наверняка столкнется с песочницей во время атаки, поэтому учится ее обходить». 

Можно ли улучшить качество детектирования с помощью ML-технологий?

Да, они уже стали неотъемлемой частью СЗИ, в том числе песочниц. Мы внедрили в PT Sandbox ML-механизмы, которые ищут в поведении файлов закономерности, характерные для определенных семейств вредоносов. 

Почему это важно? В качестве примера возьмем поведенческий анализ. ИБ-эксперты изучают вредоносы и пишут сигнатуры, по которым песочницы детектируют ВПО. Вроде бы все отлично, но, как в том анекдоте, есть нюанс. А что, если правило еще не написано или злоумышленники радикально изменили ВПО? Получается, мы не обнаружим атаку? Есть два выхода: смягчать критерии сработки или писать еще больше правил (условно говоря, для каждого вредоноса — свое). В первом случае мы получим тонну ложных срабатываний, а во втором придется обновлять правила чуть ли не каждый час. Выйти из этого тупика как раз и помогает машинное обучение. Анализируя данные об активности ВПО, ML-модели могут самостоятельно принимать решения и выявлять вредоносы, обогащая разработанные ИБ-экспертами правила.

На что стоит обратить внимание при выборе песочницы?

Все песочницы делятся на работающие, сертифицированные и дешевые :) А если серьезно, есть три фактора, которые стоит учитывать при выборе решения.

Первый — качество детектирования ВПО. На него влияют и глубина анализа поведенческой проверки, и возможности уклонения от anti-evasion обхода, и экспертиза самого вендора. Важный момент — частота обновления продукта. Новые вредоносы появляются постоянно, соответственно, и правила детектирования должны обновляться регулярно. Нет смысла тратить деньги на песочницу, если она работает на уровне антивируса. В PT Sandbox данные о новых вредоносах поступают за 2,5 часа. Спасибо нашему экспертному центру безопасности PT Expert Security Center за это.

Второй фактор — производительность, то есть стабильная работа на потоке. Многие зарубежные вендоры сознательно жертвуют глубиной анализа, чтобы поднять производительность системы до десятков тысяч файлов в час. Здесь важно соблюдать баланс между производительностью и достоверностью вердиктов, иначе есть риск получить быстрое, но неэффективное решение.

Наконец, третий фактор — интеграция с максимально возможным количеством источников. Почта, офисные пакеты, межсетевые экраны, NTA, файловые хранилища — песочница должна уметь ко всему этому подключаться.