Сам собі sandbox або як перевіряти файли

Владислав Радецький
vr@optidata.com.ua
Особливості перевірки файлів
(як зробити власний sandbox)
26 / 03 / 2024

Хто я такий ?
Мене звати Влад.
Я працюю у компанії OptiData
Аналізую віруси під Windows. Часом пишу статті.
Проводжу навчання з різних аспектів ІБ
Займаюсь проектуванням, впровадженням та
супроводом різних систем захисту.
vr@optidata.com.ua
radetskiy.wordpress.com
pastebin.com/u/VRad
slideshare.net/Glok17

1. Якщо вам сподобається – розкажіть друзям та знайомим
2. По можливості - не відволікайтеся на телефон
3. Кожне Ваше запитання важливе, тому, будь ласка, пишіть їх у чат
– а я з радістю відповім на них після своєї розповіді.
Регламент:

✓ пісочниця (sandbox) - комплекс для перевірки файлів (HW, VM, cloud)
✓ віртуалка (ВМ) - віртуальна машина, тестове середовище
✓ снепшот - зліпок (знімок) стану ВМ, дозволяє відкотитись
✓ семпл (зразок) - файл який потрібно перевірити
✓ детонація - запуск файлу, початок інфікування
✓ malware (ШПЗ) - комп'ютерний вірус
✓ маркери (IOC) - ІР, хеші, та інші ознаки активності вірусу
✓ приманка (decoy) - документ, скрипт, ярлик …
✓ скомпрометований - зламаний, такий що зазнав втручання
Словничок:

1. Сценарії та задачі аналізу
2. До чого бути готовим ?
3. Інструменти перевірки
4. Пісочниці – які бувають, їх переваги та недоліки
5. Створення власної пісочниці
6. Висновки
Про що я хочу з вами поговорити:

✓ За змістом файлів:
✓ Залежно від поставленої задачі:
конфіденційні публічні, не секретні
шкідливий чи ні ? повний аналіз (IOC)

Чим поламана
система відрізняється
від неушкодженої ?

Знати інструменти
та формати файлів
Знати тактики
malware щоб
обманути їх

▪ Файл не містить конфіденційної інформації, потрібно лише шкідливий/ні
▪ Файл не містить конфіденційної інформації, потрібен повний аналіз (IOC)
▪ Файл конфіденційний, потрібен повний аналіз (IOC) без зайвого шуму

▪ Файл не містить конфіденційної інформації, потрібно лише шкідливий/ні
➢ Можна скористатись улюбленими онлайн інструментами
▪ Файл не містить конфіденційної інформації, потрібен повний аналіз (IOC)
➢ Знадобиться додаткова перевірка
▪ Файл конфіденційний, потрібен повний аналіз (IOC) без зайвого шуму
➢ Заборона на онлайн інструменти. Тільки вручну. Тільки хардкор.

✓ exe , scr , msi в різних архівах, з паролем та без
✓ скрипти (js, vbs …) , hta , lnk , url
✓ Документи MS Office та PDF з активною начинкою
✓ Інше

✓ Документи RTF
▪ Редактор формул (CVE-2017-11882)
▪ OLE об'єкти (CVE-2017-0199)
✓ Документи DOCX, XLSX, PPTX
▪ Шаблони (1221)
▪ Макроси
✓ Документи PDF
▪ Java Script
▪ Вбудовані об'єкти (exe, документи з макросами …)

2. До чого бути готовим ? Що можуть запхати у MS Office
Template Injection T1221
VBA Macro
2017-11882, EQUATION

Увага! Додаткова інформація #1
✓ Philippe Lagadec - Weaponized MS Office 97-2003 legacy/binary formats
✓ Philippe Lagadec - Weaponized PDF - Payload Delivery Format
✓ Ryan Chapman - CFWorkshop DefCon 27 (2019)
✓ Didier Stevens - Analyzing a “multilayer” Maldoc
✓ Nicole Fishbein - How to Analyze Malicious Microsoft Office Files
✓ Josh Stroschein - Summary of Samples

Увага! Додаткова інформація #2
Мої матеріали по зразкам malware на slideshare:
✓ Невивчені уроки або логи антивірусних війн (2018)
✓ Логи (анти)вірусних війн (2020)
✓ Як не стати жертвою ? (2020)
✓ Практичні рецепти захисту (2021)

3. Інструменти перевірки – онлайн (коли файл не конфіденційний)
✓ VirusTotal - перевірка по AV виробникам, не завжди точний
✓ Docguard - статичний аналіз документів, пошук активного вмісту
✓ Triage - якісний інтерактив (з відповідними обмеженнями)
✓ UnpacMe - розпаковка ЕХЕ
✓ Intezer Analyze - статичний аналіз ЕХЕ, пошук співпадіння по інструкціям

Послідовність дій з перевірки не секретного документу MS Office або PDF:
✓ Вивантажити файл на VirusTotal (але не орієнтуватися на рейтинг 0/60)
✓ Вивантажити файл на Docguard та отримати чіткий вердикт по активному вмісту
✓ За потреби повного аналізу вивантажити файл на Triage (результат може бути “0”)
✓ Прогнати файл у власній пісочниці* для перевірки отриманих результатів
✓ Якщо файл шкідливий – вжити відповідних заходів, попередити колег …

3. Інструменти перевірки – офлайн (коли файл конфіденційний)
✓ file - NIX команда для визначення типу файлу
✓ exiftool - вичитка метаданих з файлів
✓ oletools - статичний аналіз документів MS Office
✓ pdfid - статичний аналіз PDF документів
✓ pdfinfo - статичний аналіз PDF документів #2

Послідовність дій з перевірки конфіденційного документу MS Office або PDF:
✓ Визначити справжній тип файлу (не за розширенням)
✓ Перевірити метадані на предмет аномалій (час редагування, компанія, автор)
✓ Перевірити наявність активного вмісту (макроси, об'єкти, скрипти, посилання)
✓ Прогнати файл у власній пісочниці* для перевірки отриманих результатів
✓ Якщо файл шкідливий – вжити відповідних заходів, попередити колег …

✓ 90% Sandbox = гіпервізор 1го типу + додаткові функції
✓ malware детонує в “чистій” зоні – тестова ВМ (Win/NIX/macOS)
✓ Ефективність залежить від якості імітації реальної системи
✓ Слабка кастомізація ОС > помилки при детонації malware

✓ Стокові образи уже відомі авторам malware
✓ Без перехоплень запитів malware виявить віртуалізацію
✓ Конкретні версії ОС, локалі, обмежений об'єм HDD
✓ Відсутність імітації мережевого оточення (AD, Exchange etc)

Корпоративні ($) Публічні (хмарні)

• Хмарні (публічні): - краще заточені на динаміку
✓ Cuckoo , CAPE, Triage
✓ Hybrid Analysis (колишня Payload Security)
✓ AnyRun (розробка РФ!)
• Наземні (корпоративні): - динаміка + статичний
✓ Trellix (McAfee) Intelligent Sandbox
✓ Palo Alto WildFire
✓ CrowdStrike Falcon X (по суті прокачаний Hybrid Analysis)
✓ Trend Micro Deep Discovery Analyzer
. . .

1. AnyRun - РФ | якісні звіти, інтерактив
2. HybridAnalysis - США (CrowdStrike) | слабкі звіти, слабкий захист
3. Triage - Голландія | якісні звіти, екстракт конфігу(!)
4. CAPE / Cuckoo - open-source | opensource, без інтерактиву
5. JOESandbox - Швейцарія | складні звіти, екстракт конфігу(!)

1. Trellix (ex. McAfee) - США | якісна кастомізація ОС
2. Palo Alto - США | слабка кастомізація ОС, заточена NGFW
3. CrowdStrike - США | слабкі звіти, слабкий захист
4. Trend Micro - Японія | якісна кастомізація ОС, тільки наземна

1. Захист від пісочниць
✓Апаратні параметри (CPU, HDD, MAC)
✓Гостьові утиліти
✓Ідентифікатори GPU, HDD (reg, WMI)
✓MRU, історія роботи, uptime
2. Пункт призначення (жертва)
✓Hostname/username , local/public IP
✓Локаль системи, розкладка клавіатури
✓Мережеве оточення
✓Наявність специфічних додатків
4. Логіка malware. Перевірка цільової системи

1. Захист від пісочниць
✓Апаратні параметри (CPU, HDD, MAC)
✓Гостьові утиліти
✓Ідентифікатори GPU, HDD (reg, WMI)
✓MRU, історія роботи, uptime
2. Пункт призначення (жертва)
✓Hostname/username , local/public IP
✓Локаль системи, розкладка клавіатури
✓Мережеве оточення
✓Наявність специфічних додатків
4. Логіка malware. Перевірка цільової системи
З цим публічні пісочниці можуть
впоратись (але не завжди)
Тут потрібна тільки комерційна
пісочниця ($$) або власна ВМ

Чиста зона Семпл Брудна зона
Основний снепшот Робочий снепшот Детонація
Після кожного запуску іде
фіксація результатів, потім -
відкат

✓ Нам знадобиться віртуалка з Windows 7 (легша) або 10-11 (важча)
✓ В якості гіпервізора краще QEMU або Oracle VirtualBox
✓ Ця ВМ має бути без гостьових утиліт, без оновлення, телеметрії та захисту
✓ В цій ВМ має бути пара користувачів (звичайний та Адмін)
✓ Цю ВМ потрібно буде добряче “поюзати” щоб згенерувати історію дій

✓ .Net 4.6(8) , JRE 8.15 , C++ 10-12-19 , DirectX – обов'язково
✓ Перед створенням першого (чистого) снепшоту – аптайм 2-4 години
✓ Історія активності (документи, додатки, хісторі браузера)
✓ Документи не просто скопіювати, а відкрити, змінити, зберегти
✓ По можливості зачистити усі сліди віртуалізації* Pafish

6. Висновки
✓ Варто вміти користуватися різними інструментами та методиками
✓ Якісний аналіз - мінімум 2 (а краще 3) підтвердження отриманих маркерів
✓ Статичний аналіз дає 50% результату, але для точності потрібна динаміка
✓ Якість аналізу дуже залежить від імітації реальної системи
✓ Краще завжди мати власну віртуалку під рукою

Вітаю, ви прослухали матеріал повністю
?
Ті, у кого залишилися запитання – я побуду з вами.
Усім іншим – дякую за ваш час та вашу увагу.

Дякую вам за увагу!
Слава Україні!

Сам собі sandbox або як перевіряти файли

More Related Content

Similar to Сам собі sandbox або як перевіряти файли (20)

More from Vladyslav Radetsky (20)

Сам собі sandbox або як перевіряти файли