Сетевая песочница как защита от угроз ИБ: как работает sandbox

Руслан Рахметов, Security Vision

Сетевая песочница (sandbox, сандбокс) — это изолированная виртуальная среда, предназначенная для безопасного анализа подозрительных файлов, ссылок и программ. Она имитирует реальную компьютерную систему, позволяя запустить потенциально вредоносный объект и детально изучить его поведение, не подвергая риску основную корпоративную или личную инфраструктуру. Этот инструмент является ключевым элементом современной кибербезопасности для обнаружения сложных и неизвестных угроз, которые не могут быть выявлены традиционными антивирусами.

Оглавление:

1. Почему антивирусов недостаточно: особенности современного вредоносного ПО

2. Что такое сетевая песочница и как она работает

3. Ключевые функции и возможности сетевых песочниц

4. Ограничения и способы обхода песочниц злоумышленниками

5. Примеры бесплатных облачных песочниц для анализа файлов

6. FAQ: Часто задаваемые вопросы о технологии песочниц

Почему антивирусов недостаточно: особенности современного вредоносного ПО

Использование вредоносного ПО - различных вирусов, троянов, бэкдоров, кейлоггеров, инфостилеров - остаётся одним из наиболее популярных способов реализации кибератак, наряду с эксплуатацией уязвимостей, использованием скомпрометированных учетных записей, фишингом и социальной инженерией. Вместе с этим, ВПО непрерывно эволюционирует - создатели вредоносов используют различные техники для предотвращения обнаружения средствами защиты, выполнения незаметных действий, устойчивого закрепления и быстрого перемещения по инфраструктуре. Использование антивирусных решений давно стало стандартом де-факто для большинства компаний и пользователей, но современные вредоносные инструменты требуют более продвинутых средств обнаружения и предотвращения заражений - таких, как песочницы.

Современное вредоносное ПО (далее - ВПО), особенно используемое для целевых кибератак, характеризуется следующими особенностями:

1. Высокая сложность, модульность: при кибератаке с использованием ВПО первым обычно загружается модуль-дроппер, который изучает атакованную систему, собирает данные об имени домена, пользователе, установленном ПО и передаёт данные на управляющий C2-сервер, где эта информация анализируется автоматически или вручную атакующими. В случае, если атакованное устройство представляет интерес для злоумышленников, на него загружаются дополнительные вредоносные модули - например, для кражи данных, несанкционированного удаленного доступа или шифрования информации и требования выкупа. Атакующие стремятся к незаметности, поэтому стараются обеспечить так называемый FUD (Fully UnDetectable) - т.е. ВПО на момент атаки не обнаруживается сигнатурными СЗИ (антивирусами и хостовыми IDS/IPS) и статическими методами вирусного анализа. Зашифрованная полезная нагрузка (payload) ВПО расшифровывается на лету и запускается в ОЗУ, не оставляя следов на диске устройства, а хостовые защитные решения и журналирование отключаются в самом начале атаки. В некоторых случаях атаки проводятся полностью автономно, без участия оператора-хакера, но в особо интересных для злоумышленников случаях они длительное время незаметно присутствуют в инфраструктуре и погружаются в особенности бизнеса для того, чтобы нанести максимальный ущерб на финальной фазе взлома.

2. Использование системных утилит для обхода механизмов защиты: использование техник Living Off The Land (буквально «кормиться с земли») позволяет атакующим использовать встроенные в различные ОС системные утилиты. Например, в ОС Windows активно используются встроенные утилиты, с подборкой которых можно ознакомиться на сайте проекта LpBAS, в ОС Linux используются утилиты из подборки проекта GTFOBins. Кроме того, активно используются VBA-макросы и скрипты (Linux shell, PowerShell), а также скриптовый язык AutoIt (ИТ-инструмент для автоматизации).

3. Технологии противодействия анализу: сложное ВПО выявляет дебаггеры и виртуальные среды, не запускаясь в таких условиях. Также используются огромные файлы (их объем превышает возможности анализа СЗИ) и запароленные архивы (СЗИ не может прочитать содержимое архива), техники обфускации и захламления кода для затруднения анализа. Кроме того, применяются и инструменты, разработанные для повышения конфиденциальности пользователей (HTTPS, DNS-over-HTTPS, DNS-over-TLS, Domain Fronting), а также используются бесплатные инструменты и фреймворки, предназначенные для проведения пентестов (например, Metasploit, Empire, Sliver, Havoc, Cobalt Strike, Brute Ratel). В качестве управляющего C2-сервера могут использоваться легальные инструменты (размещение управляющих команд на github или pastebin) и даже мессенджеры (размещение управляющих команд в X или Telegram), а свою инфраструктуру хакеры тщательно скрывают от обнаружения различными защитными решениями и аналитическими инструментами интернет-поисковиков.

4.Технологии сокрытия активности на зараженном ПК: современное ВПО может использовать прямые вызовы (Direct Syscalls) вместо WinAPI, контролируемых перехватчиками антивирусов и EDR-решений, может манипулировать оперативной памятью (ВПО помечает страницы в памяти как недоступные для чтения, что не позволяет защитным решениям проверить их). Кроме того, ВПО может выполнять компиляцию на лету (с использованием технологии JIT - Just-In-Time Compiler) и шифровать полезную нагрузку ВПО, использовать техники подгрузки DLL и миграции кода ВПО в легитимный процесс, а также применять технику Process Hplowing (буквально «опустошение процесса»), при которой создаётся легитимный процесс в приостановленном состоянии с дальнейшей перезаписью его адресного пространства вредоносным кодом.

5. Применение больших языковых моделей (LLM) и ИИ: атакующие не только создают эксплойты и обфусцируют ВПО с помощью ИИ, но и начали внедрять поддержку использования LLM для создания вредоносного кода и команд «на лету». Так, за счет использования в коде ВПО лишь текстового описания команд оно легко проходит проверку статических вирусных анализаторов, а затем взаимодействует с внешними легитимными LLM по API для отправки промптов на создание вредоносного кода с последующим исполнением его на атакованных устройствах. Кроме того, применение ИИ помогает атакующим быстро обрабатывать массивы украденной информации, искать валидные учетные данные и удаленные подключения к инфраструктурам других компаний, эффективно выполнять повышение привилегий и горизонтальное перемещение в атакованных сетях.

Что такое сетевая песочница и как она работает

С учетом данных особенностей, для обнаружения и анализа ВПО стали использовать песочницы - виртуальные среды, которые воспроизводят свойства настоящих корпоративных устройств (ОС, ПО, «железо»), но детально журналируют все действия, выполняемые подозрительным файлом, ссылкой или письмом после запуска/открытия. Песочница или сандбокс (англ. sandbox, также встречается название Malware Detonation Chamber/Platform) позволяет в изолированной виртуальной среде изучить поведение подозрительных файлов или ссылок в контролируемом режиме, выявить вредоносные действия, понять цели атакующих, а затем заблокировать эти элементы во всей инфраструктуре и передать в системы управления киберразведкой полученные аналитические сведения (индикаторы компрометации и атаки).

В песочницах используется комбинация различных методов обнаружения и анализа ВПО:

1. Применение сигнатурных методов даёт возможность быстро проанализировать файлы или сетевой трафик, но не походит для полиморфных вирусов или защищенных коммуникаций. Песочницы могут интегрироваться с различными антивирусными решениями и IDS/IPS и передавать им файлы и дампы сетевого трафика для анализа сигнатурными методами.

2. Эвристические методы анализа ВПО позволяют выявлять любые подозрительные действия, такие как саморепликация, перезапись файлов, изменение реестра и другую характерную для вирусов активность. Однако, эти методы дают слишком много ложных срабатываний и легко обходятся современным ВПО, хотя продолжают присутствовать в функционале классических антивирусов, интегрируемых с песочницами.

3. Статический анализ используется в песочницах для быстрой проверки файлов и ссылок, что позволяет минимизировать простой бизнес-процессов до момента окончания проверки, а также оптимизировать выделяемые аппаратные ресурсы. Для статического анализа могут использоваться YARA-правила, категорирование интернет-ресурсов, проверка подозрительных объектов по базе индикаторов компрометации.

4. Поведенческий (динамический) анализ - это основная отличительная особенность песочниц. В виртуальной контролируемой среде, изолированной от корпоративной инфраструктуры, создаётся полнофункциональный эмулятор рабочей станции или сервера - с соответствующими ОС (серверные и десктопные версии Linux и Windows, реже - macOS), с установленным офисным ПО и другими типовыми бизнес-приложениями. Всё это создаёт у исследуемого ВПО иллюзию работы в реальном рабочем окружении, поэтому происходит запуск вредоносного функционала, которое сопровождается детальным журналированием и сохранением сетевого трафика, списка сетевых подключений, процессов, дампов памяти.

5. Методы машинного обучения в современных песочницах позволяют анализировать поведение подозрительных объектов и выявлять аномалии, включая создание нетипичных дочерних процессов, сетевых соединений, файловых объектов. Машинное обучение позволяет выявлять редкие отклонения, которые сложно описать правилами детектирования или задетектировать эвристическими методами.

Ключевые функции и возможности сетевых песочниц

Песочницы (сандбоксы) обладают следующими основными функциональными характеристиками:

1. Количество эмулируемых сред: типы ОС, прикладное ПО, возможности кастомизации аппаратного обеспечения. ВПО способно выявлять наиболее характерные признаки виртуальных сред, поэтому важно, чтобы пользователь мог максимально кастомизировать создаваемую в песочнице среду под реальное рабочее окружение. Кроме того, песочница должна поддерживать эмуляцию OT-инфраструктур для поиска ВПО, нацеленного на АСУТП.

2. Поддержка анализа различных типов объектов: файлов (включая популярные офисные форматы, PDF, изображения), архивов (запароленных, многотомных, вложенных), упаковщиков (включая популярные у разработчиков и хакеров утилиты UPX, PECompact, MPRESS), ссылок (включая ссылки в документах различных форматов), QR-кодов. В случае файлов важно, чтобы песочница умела определять наличие встроенных объектов (например, COM-объектов в офисных документах MS Office, JavaScript и pE-объекты в PDF-файлах), а в случае архивов важна возможность анализировать текст email-сообщения для поиска пароля к проверяемому архиву. Ссылки также следует проверять досконально - с переходом по всем redirect-ссылкам, скачиванием и анализом файлов по ссылкам; кроме того, важно обнаруживать ссылки в других типах поддерживаемых объектов (файлах, архивах) и проверять их. QR-коды стали популярным методом доставки вредоносных ссылок (метод quishing, QR phishing), при этом атакующие могут применять метод отрисовки QR-кодов с помощью специальных unicode-символов, поэтому важно использовать продвинутые методы обнаружения и проверки подобных QR-кодов, например, с использованием машинного зрения.

3. Поддержка обнаружения руткитов и буткитов: сложное и скрытное ВПО, работающее на уровне ядра ОС (руткиты) или микропрограммы устройства (буткиты), также должно выявляться песочницами. Для этого песочницы должны работать на более низких системных уровнях, соответствующих гипервизору подсистемы аппаратной виртуализации на "Ring -1", режиму системного управления на "Ring -2", подсистеме управления чипсетом с отдельным микропроцессором на "Ring -3".

4. Поддержка интеграции с различными СЗИ, включая антивирусы, IDS/IPS, межсетевые экраны, WAF, NTA, NDR, EDR, XDR, SIEM, SOAR, TIP. Кроме того, песочницам требуется поддержка интеграции с ИТ-системами, такими как почтовые и прокси-серверы, файловые серверы, серверы приложений, для возможности перехвата ссылок и файлов, подлежащих проверке. Песочницы также должны поддерживать ручную загрузку подозрительных файлов и ссылок, дампов оперативной памяти и сетевого трафика через веб-интерфейс, а результаты проверки и окончательный вердикт должны быть доступны загрузившему объекты пользователю.

5. Возможность работы в режимах блокировки и мониторинга. Режим блокировки позволяет приостановить доставку файлов/ссылок получателям (например, через почтовый сервер) или заблокировать работу с объектами локально (в случае интеграции с EDR) до момента их проверки и вынесения вердикта. При этом до окончания проверки подозрительные объекты можно санитизировать (обезвредить) - например, конвертировать офисные документы в изображения или PDF-файлы, html-сообщения электронной почты перевести в txt-вид, убрать все ссылки из письма. Режим мониторинга анализирует подозрительные объекты уже после их доставки получателю, однако при обнаружении угроз пользователь должен получить уведомление. Кроме того, некоторые решения позволяют доставлять подозрительные email-сообщения и вложения до окончания проверки, но в случае выявления угрозы такие письма будут автоматически удалены из почтовых ящиков.

6. Поддержка ретроанализа: после того, как песочница получила свежие данные о сигнатурах и новейших методах работы ВПО, должен запускаться ретроспективный анализ ранее проверенных объектов - вероятно, в них уже были задействованы неизвестные на тот момент механизмы.

7. Категорирование атак с использованием матрицы MITRE ATT&CK: важно, чтобы результаты анализа объектов в песочнице соотносились с данными о тактиках, техниках, процедурах, инструментах атакующих из базы знаний MITRE ATT&CK - это поможет понять, куда и каким образом пытались продвигаться злоумышленники.

8. Обмен и накопление индикаторов компрометации и атак: одним из результатов работы песочницы становятся список хэш-сумм вредоносных файлов, IP-адресов и доменов, к которым обращалось ВПО. Эта информация должна передаваться в TIP-решения и в продукты для обнаружения индикаторов компрометации на конечных точках для поиска следов работы ВПО. Информация о примененных атакующими тактиках, техниках, процедурах, инструментах также должна передаваться в TIP-решение для дальнейшего поиска подобных индикаторов атак в инфраструктуре.

9. Песочницы могут работать в облаке или локально, при этом облачные решения, как правило, лучше масштабируются и работают по модели OPEX, а локальные песочницы управляются исключительно компанией и могут быть значительно кастомизированы.

10. Результаты работы песочницы могут быть представлены в виде отчетов, графов связей вредоносных объектов и артефактов, видеозаписей экрана после запуска файла или перехода по ссылке.

Ограничения и способы обхода песочниц злоумышленниками

Разумеется, у песочниц имеются некоторые ограничения, которыми могут пользоваться злоумышленники для их обхода:

1. Объем проверяемого файла: нередки случаи, когда атакующие намеренно отправляют ссылки на большие файловые архивы (более 500 Мб) в надежде, что защитные решения настроены так, чтобы не проверять объекты больше определенного объема.

2. Пароль к архиву может передаваться атакующими в открытом виде в том же письме, но могут использоваться и более изощренные способы, нацеленные на обман алгоритмов песочниц, ищущих пароль в наиболее очевидных формах. Например, пароль может быть сообщен пользователю в мессенджере (в случае целевой многовекторной атаки) или передан в виде картинки с текстом.

3. Глубина вложенности архивов:данный параметр настраивается в песочницах, однако по умолчанию он может быть достаточно мал (например, проверяются только первые два уровня вложенности), чем могут воспользоваться атакующие.

4. Время, затрачиваемое на анализ объектов: значение данного параметра устанавливается в зависимости от быстродействия аппаратного обеспечения песочницы и не должно превышать времени, комфортного для непрерывности бизнес-операций - сложно представить, что топ-менеджер будет готов ждать 10-15 минут, пока песочница проверит важное письмо «из налоговой». Этой особенностью также пользуются атакующие, намеренно усложняя код или останавливая его исполнение на некоторое время, в надежде, что песочница пропустит файл по дефолтному таймауту (например, 300 секунд).

5. Число ссылок для проверки и скачивания контента:песочницы могут проверять определенное количество ссылок из документа или письма (например, первые 10 ссылок), что также могут использовать хакеры, скрывая от пользователя в письме первые 10-15 безвредных ссылок.

6. Время наблюдения за файлом при поведенческом (динамическом) анализе: песочница может быть настроена так, что анализирует поведение подозрительного объекта в течение нескольких минут, а затем решает, что объект безвреден. Этим также могут воспользоваться злоумышленники, выжидая определенное время перед выполнением вредоносных операций или выполняя их при наступлении внешнего условия (например, определенная дата и время).

Примеры бесплатных облачных песочниц для анализа файлов

В качестве примера облачных песочниц, доступных для бесплатного использования (некоторые требуют регистрации), можно отметить:

1. Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/
2. Web https://vms.drweb.ru/
3. VirusTotal https://www.virustotal.com/
4. Hybrid Analysis https://hybrid-analysis.com/
5. Joe Sandbox https://www.joesandbox.com/
6. MetaDefender Cloud Community https://metadefender.com/
7. Filescan.io https://www.filescan.io/
8. ANY.RUN https://app.any.run/

Данные ресурсы следует использовать с осторожностью и не отправлять в них конфиденциальные файлы или ссылки на такие документы, поскольку правила этих сервисов, как правило, включают пункт о том, что результаты анализа будут доступны владельцам и всем пользователям сервиса. Кроме того, до недавнего времени функционировал российский государственный публичный антивирусный сервис «Мультисканер», который, к сожалению, в июле 2025 года прекратил свою работу.

FAQ: Часто задаваемые вопросы о технологии песочниц