Игорь Здобнов
Главный инженер-вирусный аналитик в Доктор Веб
  • Видео
  • Аудио
  • Файлы
  • Тезисы
  • Видео
  • Аудио
  • Файлы
Код ИБ 2020 | Санкт-Петербург
22 октября 2020, Санкт-Петербург, Россия
Код ИБ 2020 | Санкт-Петербург
Запросить Q&A
Видеозапись
Методы противодействия техникам детектирования песочниц на примере Dr.Web vxCube
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
7
Мне понравилось 1
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

я буду выступать проведу обзора средств детектирования песочница Sandbox of и проведем анализ степени защищенности нашего решения доктор вэйкфилд с другими игроками рынка первую очередь это специалист информационной безопасности сотрудники центров быстрого реагирования соков концертах и презентациях расскажу про различные техники исследования останков но для начала Давайте посмотрим что вообще такое софтбокс софтбокс это натуральное средство средство от детектирования вредоносного кода

и она работает вашему локальному антивирус защищает вашей сети от различных угроз или таргетированных Атак понятно что антивирусные не могут обеспечить достаточный уровень детектирования Потому что злоумышленники всегда находится на шаг впереди и поэтому использование песочнице корпоративной сети является ключевым звеном при построении различных систем защиты Зачем вообще защищать песочницу Что значит защищать Песочный практически все современные угрозы располагают средствами фиксированием песочницу И падал

часто невозможно назвать Ну да осталось осталось достаточно мало которая не детектировать песочницу и не детектируется средства анализа его здесь есть такой небольшой пример из последних угроз банковский Троян а также недостаточно освещенные песочница построенная на средства виртуализации может служить средством проникновения в роды ваши я сейчас говорю про видимости который называется Мыски когда вредоносный файл либо подозрительный файл запущенный выпрыгнуть и дальше уже распространился

Как устроена песочница песочница как правило работает на основе gidragidra ветрами являются virtualbox кем-либо или КВН внутри песочнице есть регистратор событий агентом или агентом Сейчас посмотрим регистраторе более подробно она плюсы и минусы данных подходов Агент как правило я сразу Прошу прощения может быть чуть-чуть техническое и некоторые слайды непонятно операционная система-это драйвер либо приложение Retrica которая работает внутри операционной системы и регистрирует все события то есть мы

запускаем файл внутри подозрительный файл внутри анализатора внутри системы он так там детонирует начинает свою вредоносную активность и совершает мне вот этот наш агент регистрирует эти плохие действия но проблема заключается в том что этот драйвер можно выгрузить снять его Капуки либо если вы даёте интернет песочнице кто это таким образом может учить в руки злоумышленников и Тогда ваша дочь Никто не сможет обеспечивать Также можно построить песочницу с помощью gidragidra и

в этом случае достаточно защищена но разработка такой песочнице достаточно важно в том плане что гипервизоры ничего не знает об операционной системы которая на нём работает то есть каким-то образом нам надо делать так называемые Virtual Machine introspection надо как-то взглянуть операционной системы чтобы добраться до файла добраться процессор Прочитайте некие структуры внутри операционной системы и вынести вердикт хочу рассказать про различные векторы

Атак на песочнице видели в живой природе которые используются писателями для того чтобы защитить свои поделки вот современных анализаторах одним из значит следующий мы можем сделать это редактировать пользовательской активности а также детектировать который работает проверять оборудование и совершать некие временные атаки анализ программного окружения как и любой анализатор если мы используем Агента программа драйвер который работает в операционной системе и по этому поводу вирус может детектировать

либо он может проверить все умеют это либо какие-то окна проверить Ну вот один из примеров того как можно детектировать довольно известна в песочницу называется социальным и иным это просто проверить загруженные модуль загружен ли модуль наш процесс работает на программа для перехвата функций программа на загружает библиотеку и таким образом мы можем просто понять что в наш процесс загруженность библиотека и просто перестать работать например о том, как можно давать песочницу компании санбел,

инжекция таким образом перехватывают еще один пример из живой природы этим приведён список список А и окон различных песочницу, допустим, на вирусы могут зафиксировать наличие либо наличие окна подзаголовком с ходу монитор и таким образом такой подход, Когда у нас внутри операционной системы он не очень эффективны список, который процесса различными производителями точно так же сказал, что построена на использовании драйвера и водитель список драйверов различных производителей Песочный

либо, то есть я хочу сказать, что подход построением песочнице Агента он Тупиковый мы наблюдали на поворотах, вирусы могут отредактировать песочницу, регистрируя пользоваться активность при движении мыши, то есть проверяйте, находится ли пользователь монитором и совершает какое-либо также последние проверяются файл последние файлы, что они присутствуют в системе, что это действительно система проверяют аптайм, что пользователя допущенные никакие программы проверяют, что пользователь принадлежит домену, как правило,

используется в атаках проверяет он не собирается работать на обычных компьютерах работает только на Ну и такое детектирование Полесская активности она достаточно проста реализуемо пример он сделан Visual Basic Visual Basic for applications мы можем использовать в макросах документам Проверить наличие Наличие определенных пользователей Xbox просто Прочитав его через средства Так как песочницу может быть построена на телевизоре проверить артефакт внутри либо можно просто воспользоваться документации в том как

сделать ну и соответственно информация и знания а также один из интересных методов на песочнице которые мы видели Да живой природе Это проверка оборудования погрузчика современные гипервизоры не прописывают оборудования внутри допустим ни один из существующих видов не опрокидывает внутрь операционки информацию о наличии вентилятора libao температуре процессора либо можно прочитать сетевых карты Сравните Их сын тоже ещё один из примеров взятых из Живой прочитать серийный номер биоса и

сравнить его если там находится значит этот метод детектирования он достаточно сложный Я хочу сказать сразу что песочницу который бы невозможно было спрятать Ну задача невыполнимая то есть в любом случае При желании он определить наличие потому что невозможно сделать если я такую песочницу невозможно сделать такую виртуальную среду который будет фиксировать и вот почему проблема лежит в самой виртуализации в том как она работает Значит у нас есть инструкции и эти инструкции они занимаются

их выполнения занимает определенное время вот когда эти инструкции выполняются внутри виртуальной машины Они понимают существенно длительное время нет когда исполняется на реального инструкция то есть одни они вызывают некая операция которая переключает и мы можем просто инструкцию инструкция которая возвращает информацию о процессоре время сколько она выполняла и таким образом понять есть время выполнения слишком большое то значит произошёл ВМС Значит мы находимся Может

подкручивать это время перехватывать эту инструкцию инструкция которая возвращает количество тиков и как правило это будет просто вызывает подряд несколько инструкций которые есть там и подкручивание вовремя то мы не знаем Какое количество инструкций и таким образом вы в общем для детектирования виртуальных средств есть она не обновлялась 2016 года но мы взяли её исходники и добавили туда и средства проектирования который мы нашли последние пять лет мы значительно увеличили мощность

и я решил его запустить эту покажу, как она работает, запуск, оригинальная афиша, внутри нашего анализа обратить внимание, что все методы кодировал она Так выглядит запуск, афиша, которым Мы работали в лаборатории и общее количество проверок которые мы проходили в различных вирусов проверка температуры процессора проверка прочности он потому что как правило телевизора запускается на процессорах Так выглядит запуска похищена Что я сделал Я сделал эту утилиту и на различные софтбоксы которые сейчас продаются на рынке

Ну и сравним насколько Они настолько нашу песочницу на по сравнению с другими источниками которые есть его здесь табличка по понятным причинам я затер длина 140 много красного плохо мне пользователя вот здесь представлена песочница zengram входящего в магии Франция Как в общем Таким образом мы создали одну вопрос Можно спросить а также Сегодня мы раздаём бесплатно тема доступ наших песочницы Если вы перейдете по ссылке вы получите доступ доступ к нашему отдел

продаж я куда входит это песочница или она как отдельную вас есть два варианта он принёс размещение и облачная Петербург размещается на ваших краях она не входит ни в какой ваш продукт скажет серверный отдельно надо приобретать нет Понятно Сколько стоит Значит надо приобретать вашу Песочный включить практике сейчас ходит от разработки программ приложение браузер на вирусы Не стоит этого 65 рождается в Воронеже который приложение там есть результатам практики

есть антивирус там уже полгода висит в памяти просканировали четверня антивирусами не обнаружил только на kvrt обнаруживает там какой-то как вирусы активизироваться антивирусной лаборатории что в этом направлении вопрос понятен вы говорите про вирус который модифицирует браузера Потому что так или иначе в приложении это некий набор скриптов которые взаимодействуют с Бэтменом в приложении допустим банк-клиент логика логика медицинского приложения написанные на Java скриптов которые взаимодействуют с Бэтменом

соответственно вирусы могут модифицировать логику работы этого Java скрипта путем инжектор в страничку браузера и вопрос в том что делать Сейчас современный герб этом направлении движется прямо на самом деле модификацию мы видим только модификацию страничек путем столько банковских троянов они осуществляют при совершении платежа мы не видели троянов которые бы атаковали медицинские приложения в которых различны и которое может быть как-то злоумышленниками составляющие

попросить могу сказать что мы видимся меньше и меньше районов которые использовали в бюджет правила сейчас находится в топе что что-либо данные пользователей

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Методы противодействия техникам детектирования песочниц на примере Dr.Web vxCube»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Код ИБ 2020 | Санкт-Петербург

Доступ к записям всех докладов «Код ИБ 2020 | Санкт-Петербург»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Билет

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

21 июля 2020
Онлайн
20
150
безопасность персонала, взаимоднействие с бизнесом и командой, иб без бюджета, ибнужныпрофи, информационная безопасность, код иб, код иб профи, сервисная модель в иб, управление security operations, управление иб, управление инцидентами

Похожие доклады

Николай Казанцев
Начальник отдела ИБ в НТТФ "ПОЛИСАН"
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Сергей Петухов
Менеджер по продукту в Газинформсервис
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Андрей Арбатский
Руководитель московского подразделения отдела продаж в StaffCop
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Методы противодействия техникам детектирования песочниц на примере Dr.Web vxCube»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно