Fake sandbox: Создаём фейковую виртуальную машину, для предотвращения активности вирусов
Я думаю, многие люди знают, что вредоносное ПО может определить свое присутствие в песочнице, и зная это, оно не будет активным, вносить системные изменения, пытаться распространиться на инфраструктуру и т. Д. Это сделано для того, чтобы усложнить обнаружение и / или изучение вредоносных программ в тестовых и / или изолированных средах. Теоретически это также можно использовать для защиты от вредоносных программ. Поэтому мы рассмотрим создание собственной песочницы для спуфинга, основанной на запуске поддельных процессов в системе.
Очевидно, что искусственно созданные процессы в песочнице не гарантируют, что вы будете на 100% защищены от вредоносных программ, но хорошо известно, что, например, такие программы-вымогатели, как Petya или Bad Rabbit, будут искать в системе определенные файлы и даже некорректно развертываться, если будут найдены. По аналогии существует также вредоносное ПО, которое проверяет активность определенных процессов, предполагающих наличие виртуальной машины, работающих с инструментами мониторинга сети и антивирусной защитой, от которой можно спрятаться.
Для создания такой фейковой песочницы, воспользуемся с вами утилитой fake-sandbox
Этот репозиторий содержит скрипт PowerShell, а также файлы для установки в систему и его обновления.
скачиваем, распаковываем в какую нибудь папку.
Начнем со скрита PS. Для этого скачаем полный архив из указанного репозитория и распакуем в нужную директорию. Сценарий который нам нужен называется fsp.ps1, запускаем его с помощью Powershell или в командной строке (cmd.exe) введите команду( укажите путь до распакованной папки с утилитой:
Powershell -executionpolicy remotesigned -F 'Your\Path\fsp.ps1'
Какой бы метод вы ни выбрали, результат должен быть примерно таким:
Теперь мы можем запустить доступные ложные процессы, набрав «start» или соответственно «stop», чтобы их убрать. Скрипт мгновенно запустит все процессы, и результат должен выглядеть примерно так:
Если после этого открыть диспетчер задач то мы увидим несколько вновь запущенных процессов командной строки. Если же использовать программы по типу Process explorer то можно увидеть что выполняются лишь основные задачи. Сами процессы называются «WinDbg.exe», «wireshark.exe» и т.д. Так как это работает? В начале скрипта находится раздел, содержащий поддельные имена процессов, и мы можем добавить свои процессы в массив $fakeProcesses. Затем скрипт будет копировать ping.exe сво временный каталог и переименовывать эти копии в заданные имена процессов. Чтобы это работало,пока ПК включен, скрипт будет пинговать недопустимый IP-адрес 1.1.1.1 каждый час неограниченное время. Это обеспечивает минимальную нагрузку на систему, а также гарантирует, что процессы не исчезнут. В Аргумент «stop» просто убьет все, что указано в $ fakeProcesses.
Единственная проблема со скриптом заключается в том, что он не является постоянным, что означает, что процессы исчезнут после повторного входа в систему и потребуется перезапуск скрипта. Чтобы упростить все это решение, имеется установщик который автоматически помещает все файлы в каталог% AppData% \ Roaming \ FakeSandboxProcesses и небольшой пакет триггеров. Для этого необходимо запустить файл fsp-installer.bat из раздела installer.
Права администратора не требуются, просто запускаем батник в окне командной строки и вводим «i» чтобы начать установку, затем вводим «y» если требуется также установка компонента автоматического обновления или «n» если не требуется его установка. Затем жмем любую кнопку чтобы закрыть окно командной строки – установка завершена. Теперь процессы будут автоматически запускаться при включения компьютера.
Важное примечание. Разработчик рекомендует внести пакетный файл в белый список антивирусного программного обеспечения для его автозапуска в папке FakeSandboxProcesses и в каталоге AppData. В противном случае антивирус может определить его как вредоносное ПО и предотвратить его распространение. Касперский задетектил батник как троян:
Но естественно, этот скрипт не является трояном.
Подводя итог, можно сказать, что поддельные процессы песочницы - это простой способ заставить вредоносное ПО думать, что оно сканируется. Отладка вредоносных программ, которые об этом вкурсе, является проблемой для исследователей безопасности и антивирусного программного обеспечения, но в то же время это предостережение может быть использовано в наших интересах.