TOP10 technik wykrywania maszyn wirtualnych i sandboxów przez malware

12 marca, 2020
TOP 10 technik wykrywania maszyn wirtualnych i sandboxów przez malware

Eksperci z Check Point Research udostępnili trzecią z kolei edukacyjną platformę dla miłośników bezpieczeństwa — amatorów oraz profesjonalistów. Wcześniej do dyspozycji internautów oddano portal macos.checkpoint.com, który jest w całości poświęcony złośliwemu oprogramowaniu dla systemu macOS. Badacze mogą tam znaleźć przydane linki z opisami wirusów, a także pliki binarne do pobrania celem wewnętrznej analizy. Kluczowym projektem jest blog research.checkpoint.com, który wyraźnie odżył dzięki licznemu zespołowi ekspertów.

Najnowszy portal https://evasions.checkpoint.com, a właściwie encyklopedia wiedzy na temat technik wykrywania maszyny wirtualnej lub sandboxów, takich jak Cuckoo Sandbox, będzie na pewną solidną lekturą dla badaczy, ponieważ w miarę ewolucji szkodliwych zagrożeń, pojawia się konieczność używania zautomatyzowanych rozwiązań do analizy złośliwego oprogramowania.

Próbki wirusów bardzo często są uruchamiane w pewnego rodzaju zwirtualizowanym środowisku. Systemy te różnią się od zwykłych hostów ogromną liczbą znajdujących się artefaktów. Są to na przykład nietypowe pliki, klucze rejestru, obiekty systemowe, sterowniki. Takie artefakty są widoczne dla próbek malware. Wirus może sprawdzać, czy jest uruchamiany w środowisku zwirtualizowanym. Można to w pewien sposób oszukać, utwardzając konfigurację obrazu maszyny wirtualnej, a także samego pliku BIOSU-u wczytywanego przez program do wirtualizacji np. Vmware lub VirtualBox.

W zależności od wykrytych artefaktów złośliwe oprogramowanie będzie kontynuowało swoje działanie, dając badaczom możliwość monitorowania zachowania wirusa.

Check Point Research Evasion Techniques to nowy portal od ekspertów dla zwolenników analizy złośliwego oprogramowania.

W encyklopedii „Evasion Techniques” pracownicy Check Point zebrali większość znanych sposobów wykrywania zwirtualizowanego środowiska, grupując je według kategorii. Oto niektóre z nich:

Pliki systemowe, które zdradzają program do wirtualizacji:

c:\windows\system32\drivers\vmmouse.sys -> VMware
c:\windows\system32\drivers\VBoxGuest.sys -> VirtualBox

Klucze rejestru „powiedzą” wirusowi w jakim hiperwizorze został uruchomiony:

HKLM\SOFTWARE\Microsoft\Hyper-V  
HKLM\SOFTWARE\Microsoft\VirtualMachine   
HKCU\SOFTWARE\VMware, Inc.\VMware Tools
HKLM\SOFTWARE\VMware, Inc.\VMware Tools

Konfiguracja urządzeń, rozdzielczość, nazwa użytkownika, ilości pamięci i rdzeni procesora, rozmiar całego dysku. To wszystko ma wpływ na działanie wirusa:

GetUserNameA/W
GetComputerNameA/W
GetMemoryStatusEx
GetDesktopWindow
GetWindowRect
GetSystemInfo

Uruchomione procesy:

vboxservice.exe
vboxtray.exe
vmsrvc.exe
vmtoolsd.exe
vmacthlp.exe
vmwaretray.exe
vmwareuser.exe
vmware.exe
vmount2.exe

Sprawdzanie pierwszych trzech oktetów adresu MAC karty sieciowej:

00:1C:42
08:00:27
00:05:69
00:0C:29
00:1C:14
00:50:56
00:16:E3

Wirtualizacja środowisk roboczych (Virtual Desktop Infrastructure) w erze cyberzagrożeń

Na portalu evasions.checkpoint.com takich przykładów jest znacznie więcej. Wirtualizacja posiada wiele zalet. Jedną z nich jest odporność na niektóre zaawansowane zagrożenia, które wykrywają m.in.:

  • nazwy procesów (np. TPAutoConnSvc.exe),
  • klucze rejestru (np. HKLM\SYSTEM\ControlSet001\Services\VBoxGuest),
  • zainstalowane urządzenia,
  • sterowniki karty graficznej i USB,
  • nazwę komputera,
  • dostawcę BIOS-u („SystemBiosVersion”;”VMWARE”),
  • pojemność wirtualnego dysku,
  • ruchy myszą,
  • oprogramowanie służące do analizy,
  • adres MAC karty sieciowej (pierwsze 3 oktety są kluczowe),
  • instrukcje assemblera (np. IDT, SMSW, CPUID),
  • załadowane biblioteki DLL (np. sbiedll.dll, tj. oprogramowanie Sandboxie),
  • ilość plików w folderach użytkownika,
  • rozdzielczość ekranu.

Jak na ironię, korzystając w organizacji z wirtualnych desktopów, nieświadomie utrudnia się autorom złośliwego kodu uruchomienie malware. Udostępniony pracownikowi system operacyjny w ramach wirtualnej infrastruktury roboczej zazwyczaj nie zostanie zainfekowany przez trojana bankowego, który będzie wykrywał artefakty maszyny wirtualnej, albo znane narzędzia do analizy malware:

malware bypass vmware

Jest to kawałek kodu VBA (język programowania używany do pisania poleceń makro), który weryfikuje, czy uruchomione są procesy zawierające nazwy: fiddler, vxstream, vbox, tcpview, vmware, process explorer, vmtools, autoit, wireshark, visual basic, process monitor. Jeśli wirus wykryje co najmniej jedną, to zakończy swoje działanie.

Wirus może też sprawdzać, czy jest uruchamiany w odpowiednim regionie geograficznym:

malware bypass virtualbox

Jednym z testów na uruchomienie jest również wykrywanie nazwy sieci organizacji. Jeśli ta nazwa jest przypisana  do podmiotów wojskowych, publicznych i rządowych, wirus nie zainfekuje tych komputerów: „hospital”, „university”, „school”, „science”, „army”, „veterans”, „government”, „nuclear”:

malware omijanie sandbox

Utwardzanie maszyny wirtualnej (hardening) i ukrywanie przed malware

Istnieje co najmniej kilka pomocnych narzędzi w ustaleniu, co należy zrobić, aby ukryć wirtualizację. Skonfigurowanie wirtualnego systemu operacyjnego tak, aby wyglądał jak zwykły komputer, jest zadaniem bardzo trudnym, a wręcz niemożliwym dla nie-ekspertów.

Do takich narzędzi zaliczamy:

  • Pafish: https://github.com/a0rtega/pafish
  • Al-Khaser: https://github.com/LordNoteworthy/al-khaser
  • VMDE: https://github.com/hfiref0x/VMDE
  • InviZzzible: https://github.com/CheckPointSW/InviZzzible

pafish

Rozpoznanie elementów systemu operacyjnego, które należy ukryć lub zmienić (np. adres MAC karty sieciowej, rozdzielczość, ilość plików na pulpicie, instrukcje procesora, ilość sekund od uruchomienia systemu, rozmiar dysku itp.) to jedna strona medalu.

Znacznie trudniejsze jest oszukanie złośliwego oprogramowania przed wykryciem zwirtualizowanej karty graficznej albo producenta dysku. Takie dane są na stałe zaszyte w obrazie BIOS-u i np. wirtualny dysk będzie zgłaszał się jako Vmware Incorp.

Do najtrudniejszych zadań należy modyfikacja parametrów procesora, a także pliku BIOS-u w celu zmiany nazw urządzeń wirtualnych na prawdziwe. Taką operację można tymczasowo osiągnąć poprzez modyfikację rejestru, przygotowując odpowiedni skrypt, który będzie uruchamiany przy każdym starcie systemu.  

Ukrywanie wirtualizacji jest możliwe, ale to zadanie czasochłonne i bardzo trudne technicznie. Systemy wirtualne są popularne, ponieważ nie wymagają praktycznie żadnych nakładów finansowych na przygotowanie środowiska do analizy złośliwego oprogramowania. Z wirtualnego rozwiązania korzysta choćby CERT Polska (używają zmodyfikowanego na własne potrzeby Cuckoo Sandbox), co zaświadcza o skuteczności tego typu rozwiązań.

Do bardziej zaawansowanych narzędzi do analizy malware zaliczamy darmowy projekt DRAKVUF oraz komercyjny VMRay. Ten pierwszy wymaga serwera dedykowanego, a ten drugi obsługuje ponadto analizę w chmurze. Cena za używanie VMRay jest bardzo, ale to bardzo wysoka, jak na polskie standardy, dlatego jest to produkt zarezerwowany raczej dla dużych firm. Oba rozwiązania wykorzystują tzw. analizę bezagentową, która jest znacznie korzystniejsza podczas badania próbek w maszynach wirtualnych. Z tego powodu warto zainteresować się zagadnieniem analizy bezagentowej (agentless).

Czy ten artykuł był pomocny?

Oceniono: 1 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]