🦟Как создать свою фейковую песочницу? |
🦟Как создать свою фейковую песочницу?

Ни для кого не секрет то, что вредоносное программное обеспечение может определять свое нахождение в песочнице, и зная что на ним наблюдают malware не будет проявлять активность, вносить изменения в системе, пытаться распространятся в инфраструктуре и т.д.Это сделано для того чтобы усложить детектирование и/или изучение вредоноса в тестовых и/или изолированных средах. Теоритически это можно использовать и для защиты от вредоносного ПО. Поэтому мы рассмотрим создание своей обманной песочницы на основе инициирования ложных процессов в системе.

Конечно, искуственно созданные процессы в песочнице не являются гарантией того, что вы будете защищены от вредоносных программ на все 100%, однако хорошо известно, что, например, такие программы-вымогатели, как Petya или Bad Rabbit, будут искать в системе определенные файлы и даже не развернутся должным образом, если их обнаружат. По аналогии существует и вредоносное ПО, которое проверяет активность определенных процессов, предполагающих наличие виртуальной машины, запущенных средств мониторинга сети, антивирусной защиты, от которых оно должно скрыться. 

Чтобы создать ложную песочницу воспользуемся инструментом fake-sandbox (https://github.com/Phoenix1747/fake-sandbox) Этот репозиторий содержит скрипт PowerShell, а также файлы для установки в систему и его обновления.

Начнем со скрита PS. Для этого скачаем полный архив из указанного репозитория и распакуем в нужную директорию. Сценарий который нам нужен называется fsp.ps1, запускаем его с помощью PoweShell или в командной строке (cmd.exe) введите команду:

Powershell -executionpolicy remotesigned -F 'Your\Path\fsp.ps1'

Какой бы метод вы ни выбрали, результат должен быть примерно таким:

 

 

Теперь мы можем запустить доступные ложные процессы, набрав «start» или сооответсвенно «stop», чтобы их убрать. Скрипт мгновенно запустит все процессы, и результат должен выглядеть примерно так:

 

 

Если после этого  открыть диспечтер задач то мы увидем несколько вновь запущенных процессов командной строки. Если же использовать программы по типу Process explorer то можно увидеть что выполняются лишь основные задачию. Сами процессы называются «WinDbg.exe», «wirehark.exe» и т.д. Так как это работает? В начале скрипта находжится раздел, содержаший поддельные имена процессов, и мы можем добавить свои процессы в массив  $fakeProcesses.  Затем скрипт будет копировать ping.exe сво временный каталог и переименовывать эти копии в заданные имена процессов. Чтобы это работало,пока ПК включен, скрипт будет пинговать недопустимый IP-адрес 1.1.1.1 кажды  час  неограниченное время. Это обеспечивает минимальную нагрузку на систему, а также гарантирует, что процессы не исчезнут. В Аргумент «stop» просто убьет все, что указано в $ fakeProcesses.

Единственная проблема со скриптом заключается в том, что он не является постоянным, что означает, что процессы исчезнут после повторного входа в систему и потребуется перезапуск скрипта. Чтобы упростить все это решение, имеестся установщик который автоматически помещает все файлы в каталог% AppData% \ Roaming \ FakeSandboxProcesses и небольшой пакет триггеров. Для этго необходмио запустить файл fsp-installer.bat из раздела installer. Права администратора не требуются, просто запускаем батник в окне командной строки и вводим «i» чтобы начать установку, затем вводим «y» если требуется также установка компонента автоматического обновления или «n» если не требуется его установка. Затем жмем любую кнопку чтобы закрыть окно командной строки – установка завершена. Теперь процессы будут автоматически запускаться при включения компьютера.

Важное примечание. Разработчик рекомендует внести пакетный файл в белый список антивирусного программного обеспечения для его автозапуска в папке FakeSandboxProcesses и в каталоге AppData. В противном случае антивирус может определить его как вредоносное ПО и предотвратить его распространение. Действительно KTS задетектил батник как троян:

 

 

Также стоит отметить что установка, как видно из дектории AppData просиходит для текущего пользователя!

Подводя итог, фальшивые процессы в песочнице – это простой способ заставить вредоносное ПО думать, что оно проверяется. Отладка вредоносных программ, знающих об отладке, является проблемой для исследователей безопасности и антивирусного программного обеспечения, но в то же время эта мера предосторожности может быть использована и в наших интересах. 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *