Исследователи из экспертного центра безопасности Positive Technologies (PT Expert Security Center) выявили зловреда, умеющего распознавать старые версии песочницы PT Sandbox. По словам специалистов, они впервые встречают это имя в списках проверок, которые помогают вредоносным программам уклоняться от обнаружения и анализа.
Необычный семпл был найден в начале текущего месяца в ходе ежедневного мониторинга киберугроз. Файл с актуальным названием Povestka_26-09-2022.wsf содержал обфусцированный JavaScript-код (по всей видимости, именно его раздавали в рамках имейл-кампании, о которой предупреждали эксперты «Лаборатории Касперского»).
Как оказалось, этот скрипт проводит проверки на наличие виртуальных машин, песочниц, антивирусов и при отсутствии совпадений со вшитым списком запускает основную полезную нагрузку. В противном случае он откатывает ее исполнение.
Для выявления сэндбоксов вредоносные программы, по данным PT, обычно отправляют WMI-запросы (25% зловредов) либо реализуют иные проверки окружения (33%), а также проверяют список запущенных процессов (19%). Изученный в ИБ-компании вредонос использует способ разведки, заточенный под PT Sandbox.
«Это первый известный нам случай попытки уклонения вредоносного ПО от обнаружения PT Sandbox, — комментирует Александр Тюков, специалист отдела обнаружения ВПО PT Expert Security Center. — Зловред ищет специальную папку, которая, по мнению злоумышленников, может косвенно указать на факт выполнения в среде нашей песочницы. Если результат проверки будет положительным, образец завершит работу. Такой сценарий был возможен лишь для старых версий PT Sandbox и сегодня уже не актуален. PT Sandbox умеет хорошо скрывать свое присутствие, чтобы не дать зловредам преждевременно прекратить свою работу и позволить песочнице собрать как можно больше информации для реагирования на киберугрозу и последующего расследования».
Разработчики PT Sandbox постоянно совершенствуют механизмы обнаружения вредоносных программ и попыток обхода песочниц. Так, в прошлом году в защитном продукте была введена поддержка технологий обмана, направленных на создание ловушек для зловредов — имитаций файлов и процессов, способных спровоцировать запуск полезной нагрузки.
Песочницу PT Sandbox, по данным компании, используют госструктуры, финансовые организации, промышленные предприятия. По итогам первого полугодия продажи защитного продукта возросли на 22% по сравнению с аналогичным периодом 2021 года.
