Специалисты ИБ-компании Positive Technologies обнаружили вредоносное ПО, обходящее некоторые известные песочницы, включая собственную песочницу компании PT Sandbox. Данное ПО при запуске, например в виртуальной среде или на реальном компьютере пользователя, настроено на распознавание старых версий песочницы PT Sandbox.
Вредонос был обнаружен в начале октября 2022 года сотрудниками отдела обнаружения вредоносного ПО PT Expert Security Center в ходе ежедневного мониторинга киберугроз. Они выявили файл с актуальным названием Povestka_26-09-2022.wsf. После его исследования эксперты установили, что образец представляет собой WSF-файл с обфусцированным кодом на JavaScript. Задача найденного файла была провести проверку на наличие виртуальных машин, песочниц, и антивирусных программ, а в случае их отсутствия — запустить основную полезную нагрузку.
Если данное вредоносное ПО пропустят средства защиты, то злоумышленники получают начальную точку закрепления в инфраструктуре и могут дальше развить атаку внутри организации. Атакующим нужно понимать, к чему они получили доступ: к реальной рабочей станции в инфраструктуре компании или изолированной виртуальной среде, предназначенной для анализа поведения исполняемых файлов. Поэтому во вредонос была встроена функция обнаружения и обхода средств защиты и виртуализации.
По данным Positive Technologies, для выявления сетевых песочниц злоумышленники в 25% отправляют WMI-запросы, в 33% реализуют иные проверки окружения, а в 19% проверяют список запущенных процессов. Однако новый зловред, изученный специалистами компании, имеет интересный способ обнаружения виртуальных сред, заточенный конкретно под PT Sandbox. Вредонос ищет специальную папку, которая, по мнению злоумышленников, может косвенно указать на факт выполнения в среде песочницы PT Sandbox. Если результат проверки будет положительным, образец завершит работу.
Александр Тюков
Специалист отдела обнаружения ВПО PT Expert Security Center
«Это первый известный нам случай попытки уклонения вредоносного ПО от обнаружения PT Sandbox. Зловред ищет специальную папку, которая, по мнению злоумышленников, может косвенно указать на факт выполнения в среде нашей песочницы. Если результат проверки будет положительным, образец завершит работу. Такой сценарий был возможен лишь для старых версий PT Sandbox и сегодня уже не актуален. PT Sandbox умеет хорошо скрывать своё присутствие, чтобы не дать зловредам преждевременно прекратить свою работу и позволить песочнице собрать как можно больше информации для реагирования на киберугрозу и последующего расследования».
