Как работают песочницы АВ?

[cppjunior]

Как работают ав песочницы? Как они мониторят события в системе? К примеру, создание файла на диске или манипуляции в реестре, ставят хуки в ntdll?

 

[DildoFagins]

Как работают ав песочницы? Как они мониторят события в системе? К примеру, создание файла на диске или манипуляции в реестре, ставят хуки в ntdll?

Зависит от песочницы, но в почти 2023 году уже вряд ли кто-то реально рассчитывает обойтись виртуальной машиной и юзермодными хуками. В качестве оупенсорсного примера можешь посмотреть Drakvuf, который на базе Xen виртуализации перехватывает всякое (то есть это уровень еще ниже ядра операционной системы образно). Кстати, внутри некоторых песочниц можно найти забавные вещи, типа заботливо положенного на десктопе файла "passwords.txt".

 

[cppjunior]

Зависит от песочницы, но в почти 2023 году уже вряд ли кто-то реально рассчитывает обойтись виртуальной машиной и юзермодными хуками. В качестве оупенсорсного примера можешь посмотреть Drakvuf, который на базе Xen виртуализации перехватывает всякое (то есть это уровень еще ниже ядра операционной системы образно). Кстати, внутри некоторых песочниц можно найти забавные вещи, типа заботливо положенного на десктопе файла "passwords.txt".

Ну вот, если я правильно понимаю, пример списка функций которые хукает песочница https://github.com/CERT-Polska/drak...ac59be552ba5d2/drakrun/drakrun/hooks.dist.txt
И вот хук kernel32.dll,GetComputerNameW или user32.dll,GetCursorPos, я думаю что авер на машине обычного пользователя не ставит хуки на такие функции. Можно отталкиваться от этого что б детектить песочницы ав?

 

[DildoFagins]

И вот хук kernel32.dll,GetComputerNameW или user32.dll,GetCursorPos, я думаю что авер на машине обычного пользователя не ставит хуки на такие функции. Можно отталкиваться от этого что б детектить песочницы ав?

В drakvuf песочнице по идее ты не должен увидеть этот хук, он на уровне гипервизора ставится, а не в юзермоде.

 

[cppjunior]

В drakvuf песочнице по идее ты не должен увидеть этот хук, он на уровне гипервизора ставится, а не в юзермоде.

А как к примеру на вт песочницы детектят что бинарник парсит свой пе хедер (https://www.virustotal.com/gui/file...8b0daedf0df82381af452e36164ffb40b0fe/behavior)
Это тоже как то на уровне гипервизора работает? Это никак нельзя задетектить а уровне юзермода?

 

[DildoFagins]

Это тоже как то на уровне гипервизора работает? Это никак нельзя задетектить а уровне юзермода

Я не знаю, не исследовал, но на википедии пишут, что:

VirusTotal uses the Cuckoo sandbox for dynamic analysis of malware.[8]

Если это до сих пор так и они не модифицировали сендбокс каким-то особым образом, то кукушка перехватывала обычными патчами в юзермоде, если мне память не изменяет.

Добавлю, наверное, еще общий подход, который мы использовали, когда нас заебывал какой-то сендбокс. По ситуации стараешься выгрузить информацию о среде из сендбокса. Там внутри, даже помимо артефактов виртуальной машины, есть куча странного бреда. Например, как я уже говорил, файл passwords.txt на десктопе, или, образно, семь разных одновременно запущенный браузеров. Если видишь на компе такой бред, можешь спокойно считать, что это сендбокс.

Или еще лучше, если знаешь какие-то параметры реальной среды, в которой тебе предстоит работать, то лучше привязаться именно к ним. То есть, например, не работать на компах, где имя домена не совпадает с определенным заранее известном тебе значением.

 

[diletant]

ещё юзернеймы тачек как вариант. Например массовый спам пролив отлично даёт данные какие юзернеймы можно перманентно в бан залепить и не запускаться там. А так же процессы, мак адреса, оперативка, процессор, видюха и прочее, даже движ мышкой можно последить.

 

[Aels]

https://www.usenix.org/system/files/conference/woot16/woot16-paper-blackthorne_update.pdf

old but gold, фингерпринт песочнич

 

[Topstrelok]

Ради интереса проверил anyrun на хуки. Их нет ¯\_(ツ)_/¯