Есть ли песочница в доктор веб
Уезжая на дачу, озаботился антивирусом для старого приятеля — ноутбука. Он и правда старичок по сегодняшним меркам — Win XP, 1 гиг памяти и воющий кулер на слабом процессоре. Короче говоря, в начале века он был бы мечтой каждого, а ныне просто служит экраном для браузера с клавиатурой и неплохо тянет Baldur's Gate II и Icewind Dale.
Так вот, уезжая на дачу, я решил облагородить своего друга антивирусом. Выбор пал на DrWeb — то ли по причине ностальгии, то ли по странному нелогичному рассуждению, что Доктор вроде как жрёт меньше ресурсов, чем Каспер. Я скачал ознакомительную версию, которая позволяет присматриваться к продукту в течение месяца. Месяц миновал, и я решил купить лицензию на 3 месяца.
Я зашёл на страницу продукта (в русском языке слово «продукт» выглядит неодушевлённо, нелепо, если вы понимаете) и заметил ссылку «Быстрый заказ». Ага, подумал я! Пара движений мышью, и я достигну результата. Но не тут-то было!
«Быстрый заказ» оказался вовсе не быстрым. После перехода по ссылке, добрые дизайнеры от Доктора Веба дали мне такое окно.
Скажите, когда вы покупаете колбасу или хлеб, у вас спрашивают Имя, Фамилию и Номер телефона? Может я что-то путаю, но зачем эта информация Доктору Вебу? Я просто хочу купить лицензию. Я плачу кредиткой, а вы мне — ключик. И прощай! Для чего тебе мои Имя, Фамилия и прочее? Разве это «быстрый заказ»? Разумеется, нет. Меня как клиента они потеряли на этом этапе.
Я ведь не сразу стал писать на Хабр — нет! =) Сначала я решил отписать в службу поддержки Доктора Веба, намереваясь поведать им о неудачном дизайнерском решении. Но чу! Ссылка на страницу техподдержки привела меня сюда:
Я понимаю озабоченность сисадминов возможной спамерской атакой. По-человечески — понимаю. Но как потербитель я наткнулся на ужасную капчу и закрыл страницу. Досвидос, Доктор Веб! Я люблю квесты, но не в том случае, когда я должен продираться через них ради простейшей операции.
Песочница зачастую считается панацеей при защите от вредоносных программ. Предполагается, что запущенное в песочнице ПО проявит свои вредоносные функции, таким образом выдав свою сущность. Вполне логично, что разработчики вредоносных программ об этом знают и стремятся избежать раскрытия истинного предназначения своих изделий при запуске в песочнице. Также вирусописатели предполагают, что если кто-то будет их программы исследовать, то запускать их станут на виртуальных машинах.
В обоих случаях, если вирусописатели не хотят, чтобы вредоносные действия программы при запуске были выявлены, им нужно понимать, что их ПО запущено в изолированном окружении. Интересно, что, зная об этом, некоторые пользователи на обычном ПК производят манипуляции, чтобы для вредоносных программ компьютер выглядел виртуальным. Если кто помнит - это, по сути, старое ламповое вакцинирование. В 90-е годы прошлого века существовали не только первые антивирусы, но и так называемые программы-вакцины, имитирующие заражение файла с тем, чтобы вирусы, проверив его, не стали его заражать. Может ли такой фокус стать заменой антивирусу? Конечно, нет – далеко не все вредоносные программы имеют функционал проверки запуска в виртуальной машине. Почему? Хотя бы потому, что в компаниях серверы зачастую развёртывают именно на виртуальных машинах. Да и удаленным пользователям часто рекомендуется работать с офисными сервисами именно с виртуальной машины.
Как можно определить, что программа запущена в виртуальной машине? В случае реальных ПК используется самое различное оборудование – например, жесткие диски от разных производителей, самые разные видеокарты и сетевое оборудование, различные версии BIOS. В случае машин виртуальных оборудование однообразно. И, соответственно, узнав, на каком оборудовании запущена операционная система, можно сделать определенные выводы.
Операционные системы на виртуальных машинах могут иметь специфические сервисы, установленные драйверы и программы (например, в случае VMware – VMware Tools). Ну а в случае ОС Windows следы запуска на виртуальной машине могут быть обнаружены и в реестре.
Скажем, при использовании VMware Workstation для взаимодействия гостевой и основной ОС служит порт с номером 0x5658. Если в EAX положить число 0x564d5868, а в ECX записать 0x0A, то команда вернет версию установленной VMware Workstation.
Узнать, работает ли сам пользователь на виртуальной или реальной машине, можно, например, с помощью утилиты Pafish (Paranoid Fish). Она проверяет:
- размер жесткого диска и оперативной памяти;
- разрешение экрана;
- движения мыши;
- таймер TSC виртуальной машины;
- наличие в системе ПО, идентификаторов устройств и MAC-адресов сетевых адаптеров, характерных для анализаторов и виртуальных машин.
Вот, скажем, пример запуска Pafish на виртуальной машине:
Pafish успешно обнаружил виртуальную среду при проверке Timestamp counters. Несмотря на то, что для калибровки этого таймера предусмотрено специальное поле в структуре, используемой при аппаратной виртуализации, правильно его настроить довольно сложно. Это связано с проблемой точного определения числа тактов, происходящих при vmexit и vmresume.
Компания «Доктор Веб» предлагает свои клиентам специальный облачный сервис – Dr.Web vxCube, в который пользователь может загрузить вызывающий подозрение файл. Тот будет запущен на специальной виртуальной машине, не позволяющей изучаемому образцу обнаружить, что его запустили в виртуальном окружении.
Опыт анализа огромного количества вредоносных программ позволил специалистам нашей компании определить методы, используемые вирусописателями для выявления запуска ПО на виртуальных машинах, – и разработать технологии, позволяющие обмануть вредоносные программы. Так, последние не смогут использовать в своих целях:
- информацию о кулере;
- информацию о наличии термальных зон в ACPI материнской платы;
- информацию о наличии ярлыков, установленных программ и обновлений ОС;
- информацию о использовании Xeon-процессора и др.
Контроль за хакерскими методами позволяет оперативно добавлять в сервис техники их нейтрализации. В Dr.Web vxCube используется более 370 (на август 2020 г.) – рекордное число! – одних только техник противодействия обнаружению средств анализа вредоносных программ.
Запустим Pafish в сервисе Dr.Web vxCube:
Запускается проверка. Тут надо сказать, что пользователь сервиса может или дождаться окончания проверки, или, используя VNC, войти в виртуальную машину для выполнения нужных ему действий. В данном случае, зайдя в виртуальную машину, он увидит работу Pafish:
Как видим, все проверки проходят успешно, наличия виртуальной машины не выявлено. А вот заметил ли сервис, что его анализируют?
После завершения анализа работы программы (время анализа, кстати, можно настроить до запуска программы) прокручиваем страницу отчета до раздела Поведение. И видим запись Обнаружение Vm, а в разделе Описание можем узнать подробности:
Антивирусная правДА! рекомендует
Если вам необходимо проверить некую программу на наличие вредоносного функционала, рекомендуем использовать сервис Dr.Web vxCube. Исследуемая программа не узнает, что за ней следят, а сервис Dr.Web vxCube не только укажет на вредоносный функционал, но и создаст специальную версию утилиты Dr.Web CureIt!, умеющую удалять именно анализируемый вредоносный файл.
Оцените выпуск
Сделайте репост
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
slawik_3
08:48:47 2021-01-27
Альфа
22:47:15 2020-12-17
Vitalij&Grek
08:59:05 2020-12-16
Alex Kad
11:07:52 2020-12-13
Korney
23:47:48 2020-12-11
Неуёмный Обыватель
22:16:30 2020-12-11
Lia00
21:57:33 2020-12-11
L1t1um
20:40:38 2020-12-11
orw_mikle
20:17:46 2020-12-11
Я надеюсь, что установленный у меня Dr.Web Security Space, сам проверит некую программу на наличие вредоносного функционала.
Геральт
19:25:30 2020-12-11
Slava90
17:46:38 2020-12-11
Спасибо за статью, информация полезная. Когда-нибудь возможно воспользуюсь Dr.Web vxCube.
Пока справляется на отлично Dr.Web Security Space.
Masha
17:27:58 2020-12-11
eaglebuk
16:40:07 2020-12-11
Спасибо за информацию!
PS. Про одинаковый BIOS лишнее замечание, конечно. Он (она?) отличается не только производителем, для каждой материнской платы своя система BIOS, в которой могут быть настройки, отличающиеся от дефолтных. И UEFI туда же.
Татьяна
16:05:16 2020-12-11
anatol
14:35:42 2020-12-11
Очень мудрено, аж дух захватывает. Очевидно, ориентировано на профессионалов и им интересно и полезно.
Filip_s
14:10:53 2020-12-11
vinnetou
13:20:53 2020-12-11
Спасибо за интересный сервис Dr.Web vxCube,в большей степени нужный сисадминам и IT-специалистам,а обычным пользователям вполне хватит Dr.Web Security Spase.
Денисенко Павел Андреевич
12:50:25 2020-12-11
Любитель пляжного футбола
11:57:00 2020-12-11
Как-то надобности в данном сервисе не возникало.
"Параноидальная рыбка", ну и назвали программу. :))
GREEN
10:56:06 2020-12-11
Cервис Dr.Web vxCube хорош, бесспорно, но . за все хорошее нужно . (ну, конечно, конечно, как же без этого . ) платить!
А бесплатным бывает только сыр в известным всем местах .
Polyarnik
10:45:40 2020-12-11
Alexander
10:37:24 2020-12-11
Песочница - это здорово! Детство, начальные познания межличностных отношений, строительство и разрушение, "потеряшки" игрушек случайно и намеренно. Сокрытие "клада" и его поиски. Страус голову в песок, - и вот он уже в новом мире без опасностей.
Взрослые тоже играют в "песочницах" в придуманных ими играх под общим названием "Песочница". Придумываются правила, им следуют и их нарушают, экспериментируют. Пытаются в песочницах спрятать ценности и защитить их от злоумышленников. Понимают, что надёжную защиту на песке и из песка не построить. Но вот временно как бы затеряться, укрыться, спрятаться от прямого контакта, - вполне себе реально.
А ещё, имея навыки пребывания и жизни в песчаных барханах, можно без особых усилий с пришлыми врагами "разобраться". И разделить, и допросить, и изучить. И понять какие инструменты для нового ворога будут наиболее эффективны на твёрдой почве Интернета. И подготовить соответствующее защитно-оборонительное оружие.
Вот так и делает DrWeb vxCube. Попав в его "объятия" потенциальный алчный недоброжелатель и не поймёт, что он не в желанном городе, наполненном ценностями. Здесь он будет изучен вдоль и поперёк, препарирован, замкнут и лишён права переписки со своими хозяевами.
Тут и сказочке конец, а кто пользуется услугами и возможностями DrWeb vxCube, - тот молодец, а невеста идёт под венец.
Для проведения анализа исследователь через браузер запускает файлы различных типов в выбранной им операционной системе на виртуальных машинах «Доктор Веб». Среда Dr.Web vxCube изолирована от системы анализа, никакие действия с файлом на стороне исследователя не производятся. Так что устройству компании ничто не угрожает.
Это конфиденциально
Dr.Web vxCube запускает файл в специальной облачной песочнице на сервере «Доктор Веб», проверка полностью автоматизирована и скрыта от посторонних глаз.
В отличие от Dr.Web vxCube, использование бесплатных песочниц сопряжено с передачей файла на исследование в постороннюю, зачастую неизвестно кому принадлежащую компанию без гарантии конфиденциальности.
Это не антивирус
Антивирус выявляет активность известного ему (или похожего на известное) вредоносного ПО. Он делает это, анализируя содержимое файла до его запуска или изучая обращения к различным ресурсам. В первом случае используется информация из вирусных баз, во втором – правила превентивной защиты. Но так или иначе собственно поведение файла и его связь с другими событиями в системе антивирус не интересуют. При совпадении производится действие, указанное в настройках, – как правило, удаление файла или перемещение его в карантин, а также остановка вредоносного процесса.
Dr.Web vxCube может исследовать поведение не только тех файлов, которые заведомо вредоносны, но и тех, чье реальное назначение неизвестно. Таким образом, это анализатор ПОВЕДЕНИЯ любого ПО, позволяющий выявить наличие в нем вредоносного функционала.
Это не сканер
Любой мультисканер (например, VirusTotal) «прогоняет» файл через множество антивирусных сканеров только на наличие записи о нем в вирусных базах. Так же поступают и злоумышленники: они проверяют создаваемое ими ВПО на VirusTotal до тех пор, пока не получают вредоносный файл, который некоторое время не сможет распознать ни один антивирус (но только по вирусным базам!). Проверка через VirusTotal не позволяет определить вредоносность файла, ранее аналитикам не встречавшегося. Поскольку файл там не запускается, то и его поведение не анализируется.
Более того, мультисканер даже не дает точной оценки – она остается за пользователем, который видит лишь, что столько-то сканеров сочло файл вредоносным.
Кроме того, VirusTotal передает полученные файлы в другие компании по программе обмена образцами ВПО. Это небезопасно, если речь идет о проверке, к примеру, файлов с важными данными.
Это исчерпывающе
Dr.Web контролирует запущенный (или загруженный приложением) в виртуальной машине файл, отслеживает все его действия: создание файлов, обращение к Интернету и ресурсам и локального компьютера, вызовы системных функций и многое другое. Автоматический анализ этих действий позволяет оценить степень вредоносности файла, исследовать его поведение, найти следы, которые он оставляет в системе. По результатам анализа предоставляется полный отчет. VirusTotal такого рода анализ не обеспечивает.
Это специальные технологии собственной разработки
Dr.Web vxCube разработан на основе специально созданных технологий, не позволяющих запущенным файлам распознавать, что они находятся под присмотром анализатора, и затаиться, скрыв от него вредоносную деятельность. Данный функционал проверки на запуск в изолированной среде (песочнице) встречается у вредоносных программ достаточно часто. Опыт аналитиков «Доктор Веб» позволяет своевременно выявлять новейшие приемы злоумышленников, направленные на обнаружение запуска под присмотром, и противодействовать им, постоянно улучшать Dr.Web vxCube. Бесплатные песочницы, как правило, с этой проблемой не справляются.
Это надежно
Бесплатные песочницы постоянно закрываются. А ведь проверка может потребоваться срочно, когда нет времени искать очередной бесплатный сервис и убеждаться в его благонадежности. Dr.Web vxCube доступен круглосуточно, равно как и консультации специалистов службы поддержки.
Это немедленная помощь
Если проанализированный файл оказался вредоносным, на лету будет создана лечащая утилита Dr.Web CureIt!. В сложных случаях исследователь может заказать подробное описание ВПО или более глубокий (ручной) анализ, а также обратиться за услугами расследования ВКИ. Этих услуг нет ни у одной бесплатной песочницы.
Это богатый опыт разработки
Антивирусные технологии Dr.Web разрабатываются с 1992 года. Специалисты службы вирусного мониторинга постоянно анализируют деятельность кибергруппировок, их техники и инструменты с целью выявления готовящихся атак. Это помогает разрабатывать технологии превентивной защиты, не позволяющие преступникам использовать свой инструментарий против пользователей Dr.Web.
Специалисты компании «Доктор Веб» сумели в ряде тестов обойти защиту «безопасной среды», реализованной в новом продукте «Лаборатории Касперского» - Kaspersky Internet Security 2010.
Технология Sandbox («песочницы» или Green Zone — «безопасной среды»), впервые появившаяся в комплексном решении Kaspersky Internet Security 2010 (антивирус, антиспам, защита от атак), привлекла пристальное внимание конкурентов ЛК. Напомним, что Sandbox позволяет запускать подозрительные программы и веб-сайты в изолированном виртуальном пространстве.
«Мы не могли удержаться от тестирования новой технологии наших коллег, — говорят представители компании . «Доктор Веб». — Поскольку идея «песочниц» не нова и довольно много антивирусных компаний уже долгое время имеют схожие разработки, а также в связи с тем, что наша антивирусная лаборатория постоянно ведет исследования в этой области, подобная информация, естественно, представляет для нас большой интерес».
«Для выполнения первого теста файловый менеджер FAR был помещен в «песочницу» и запущен на исполнение, — описывают свой эксперимент в «Доктор Веб». — Затем из Сети были взяты четыре эксплойта, использующие уязвимости ОС Windows. Вредоносные файлы не были задетектированы средствами KIS (не сработала ни эвристика, ни HIPS) и запущены на исполнение. В результате все эксплойты выполнили свое предназначение (переход в режим ядра ОС), а «песочница» так и не осуществила свою миссию, доказательством чему был синий экран смерти Windows (BSoD). Операционной системе был нанесен безусловный вред».
В другом тесте была произведена проверка на способность изолировать изменения файловой системы внутри Green Zone. «Обычные операции над файлами никак не повлияли на работоспособность основной системы, — продолжают в «Доктор Веб». — Но изменяя стандартный синтаксис имени файла на его аналог через сетевой редиректор (как это делал, например, вирус Win32.Ntldrbot), можно получить полный доступ к системе за пределами «песочницы» и способность изменять критически важные объекты. Так, простой командный файл (bat) из двух строк с легкостью удаляет файл c:\ntldr, что приводит к полной неработоспособности всей системы после перезагрузки».
Таким образом, как утверждают представители «Доктор Веб», Green Zone на самом деле совершенно не гарантирует, что вредоносные программы не смогут нанести вред операционной системе и файлам пользователя, как было заявлено при запуске KIS 2010.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Для проведения анализа исследователь через браузер запускает файлы различных типов в выбранной им операционной системе на виртуальных машинах «Доктор Веб». Среда Dr.Web vxCube изолирована от системы анализа, никакие действия с файлом на стороне исследователя не производятся. Так что устройству компании ничто не угрожает.
Это конфиденциально
Dr.Web vxCube запускает файл в специальной облачной песочнице на сервере «Доктор Веб», проверка полностью автоматизирована и скрыта от посторонних глаз.
В отличие от Dr.Web vxCube, использование бесплатных песочниц сопряжено с передачей файла на исследование в постороннюю, зачастую неизвестно кому принадлежащую компанию без гарантии конфиденциальности.
Это не антивирус
Антивирус выявляет активность известного ему (или похожего на известное) вредоносного ПО. Он делает это, анализируя содержимое файла до его запуска или изучая обращения к различным ресурсам. В первом случае используется информация из вирусных баз, во втором – правила превентивной защиты. Но так или иначе собственно поведение файла и его связь с другими событиями в системе антивирус не интересуют. При совпадении производится действие, указанное в настройках, – как правило, удаление файла или перемещение его в карантин, а также остановка вредоносного процесса.
Dr.Web vxCube может исследовать поведение не только тех файлов, которые заведомо вредоносны, но и тех, чье реальное назначение неизвестно. Таким образом, это анализатор ПОВЕДЕНИЯ любого ПО, позволяющий выявить наличие в нем вредоносного функционала.
Это не сканер
Любой мультисканер (например, VirusTotal) «прогоняет» файл через множество антивирусных сканеров только на наличие записи о нем в вирусных базах. Так же поступают и злоумышленники: они проверяют создаваемое ими ВПО на VirusTotal до тех пор, пока не получают вредоносный файл, который некоторое время не сможет распознать ни один антивирус (но только по вирусным базам!). Проверка через VirusTotal не позволяет определить вредоносность файла, ранее аналитикам не встречавшегося. Поскольку файл там не запускается, то и его поведение не анализируется.
Более того, мультисканер даже не дает точной оценки – она остается за пользователем, который видит лишь, что столько-то сканеров сочло файл вредоносным.
Кроме того, VirusTotal передает полученные файлы в другие компании по программе обмена образцами ВПО. Это небезопасно, если речь идет о проверке, к примеру, файлов с важными данными.
Это исчерпывающе
Dr.Web контролирует запущенный (или загруженный приложением) в виртуальной машине файл, отслеживает все его действия: создание файлов, обращение к Интернету и ресурсам и локального компьютера, вызовы системных функций и многое другое. Автоматический анализ этих действий позволяет оценить степень вредоносности файла, исследовать его поведение, найти следы, которые он оставляет в системе. По результатам анализа предоставляется полный отчет. VirusTotal такого рода анализ не обеспечивает.
Это специальные технологии собственной разработки
Dr.Web vxCube разработан на основе специально созданных технологий, не позволяющих запущенным файлам распознавать, что они находятся под присмотром анализатора, и затаиться, скрыв от него вредоносную деятельность. Данный функционал проверки на запуск в изолированной среде (песочнице) встречается у вредоносных программ достаточно часто. Опыт аналитиков «Доктор Веб» позволяет своевременно выявлять новейшие приемы злоумышленников, направленные на обнаружение запуска под присмотром, и противодействовать им, постоянно улучшать Dr.Web vxCube. Бесплатные песочницы, как правило, с этой проблемой не справляются.
Это надежно
Бесплатные песочницы постоянно закрываются. А ведь проверка может потребоваться срочно, когда нет времени искать очередной бесплатный сервис и убеждаться в его благонадежности. Dr.Web vxCube доступен круглосуточно, равно как и консультации специалистов службы поддержки.
Это немедленная помощь
Если проанализированный файл оказался вредоносным, на лету будет создана лечащая утилита Dr.Web CureIt!. В сложных случаях исследователь может заказать подробное описание ВПО или более глубокий (ручной) анализ, а также обратиться за услугами расследования ВКИ. Этих услуг нет ни у одной бесплатной песочницы.
Это богатый опыт разработки
Антивирусные технологии Dr.Web разрабатываются с 1992 года. Специалисты службы вирусного мониторинга постоянно анализируют деятельность кибергруппировок, их техники и инструменты с целью выявления готовящихся атак. Это помогает разрабатывать технологии превентивной защиты, не позволяющие преступникам использовать свой инструментарий против пользователей Dr.Web.
Читайте также: