Sandbox – zabawy w piaskownicy

Krzysztof Anzorge
Placeholder for Krzysztof AnzorgeKrzysztof Anzorge

Krzysztof Anzorge , Security Expert , Nomios Poland

Do przeczytania w 1 min.
McAfee

Share

Czym jest Sandbox?

W cyberbezpieczeństwie „piaskownica” (ang. Sandbox) to izolowane środowisko w sieci, które naśladuje środowiska operacyjne użytkowników końcowych. Sandboxy służą do bezpiecznego wykonywania podejrzanego kodu bez ryzyka uszkodzenia urządzenia hosta lub sieci. Korzystanie z Sandboxu do zaawansowanego wykrywania złośliwego oprogramowania zapewnia kolejną warstwę ochrony przed nowymi zagrożeniami - w szczególności przed złośliwym oprogramowaniem typu „zero-day” (wcześniej niewidocznym) czy atakami zamaskowanymi na różne sposoby. To, co dzieje się w piaskownicy, pozostaje w piaskownicy – dzięki temu można zapobiec awariom systemów, kradzieżom czy rozprzestrzenianiu się złośliwego oprogramowania.

Sandbox to najczęściej urządzenia fizyczne (lecz nie tylko), posiadające duże zasoby sprzętowe, umożliwiające wydajne uruchamianie próbek w kontrolowanym środowisku.

Oferowane przez nas rozwiązanie McAfee Advanced Threat Defense (ATD), dostępne jest jako urządzenie sprzętowe (dwa modele), lub jako maszyna wirtualna działająca pod platformą VMWare oraz (co jest naszym wyróżnikiem) Hyper-V.

Sandbox image 1

Parametry oferowanych maszyn fizycznych ATD przedstawia poniższa tabela:

Sandbox image 2

Na urządzeniu ATD-3200 można uruchomić do 30 maszyn wirtualnych, natomiast model ATD-6200 do 60 maszyn wirtualnych. (przykładowe wykorzystanie przestrzeni ATD 6xxx poniżej).

Virtual machine

Tu wykorzystano jedną maszynę wirtualną powieloną do maksymalnej liczby 60-ciu sztuk.

Na poniższym zrzucie, można zobaczyć inny podział:

Sandbox image 4

Jak widać elastyczność wykorzystania dostępnej przestrzeni jest dowolna. Od multiplikacji pojedynczego obrazu, aż po użycie kilku/kilkunastu obrazów różnych systemów operacyjnych. Istnieje również możliwość łatwej modyfikacji liczby użytych maszyn wirtualnych w zależności od potrzeb. Nie wymaga to ponownego wgrywania maszyn wirtualnych.

Wymagania ATD co do opcji wirtualnej, znajdują się w poniższej tabeli:

ATD requirements

Liczba możliwych do uruchomienia instancji maszyn wirtualnych w ATD zależna jest od wykupionej licencji.

Praca w klastrze

W celu zapewnienia wysokiej dostępności usługi skanowania, oraz w celu rozłożenia obciążenia na wiele urządzeń (w zależności od potrzeb), McAfee ATD możliwe jest do instalacji w klastrze. Przykład implementacji ATD w klastrze, przedstawia poniższy diagram.

Sandbox image diagram

Urządzenia mogą pracować w trybie Primary, Secondary i Backup. Klaster może być obsługiwany poprzez VIP klastra. Zwiększenie wydajności klastra, odbywa się poprzez dołożenie kolejnego „node-a”. Konfiguracja nowego członka klastra, polega na zaadresowaniu i przyłączeniu do klastra w wybranym trybie. Wszystkie wymagane synchronizacje (polityka, maszyny wirtualne) odbywają się w sposób automatyczny. Poniżej zrzut ekranu z konfiguracji dwóch urządzeń w trybie Primary-Secondary.

primary secondary

Wspierane systemy operacyjne

Na rynku urządzeń klasy Sandbox, można znaleźć dwa rodzaje podejścia do obsługi systemów operacyjnych wykorzystywanych w skanowaniu. Jest to umożliwienie stworzenia własnych wersji obrazów systemów operacyjnych przez Klienta, oraz dostarczanie gotowych obrazów przygotowanych przez producenta. Bardziej elastyczna i korzystna z punktu widzenia Klienta jest możliwość samodzielnego utworzenia obrazu systemu operacyjnego. Daje to możliwość przygotowania jak najbardziej zbliżonego do aktualnego środowiska sieciowego Klienta obrazu systemu. (tzw. Golden Image). Oferowany przez naszą firmę produkt McAfee Advanced Threat Defense (w skrócie ATD), posiada właśnie możliwość własnoręcznej definicji obrazów systemów operacyjnych. Wybór systemów operacyjnych możliwych do wykorzystania jest dość szeroki (poniższa tabela)

Wspierane systemy operacyjne

Dużym plusem przy tworzeniu własnych obrazów systemów operacyjnych jest również możliwość stworzenia kilku obrazów tego samego systemu operacyjnego, ale np. z różnymi wersjami JAVA, Adobe, Office. W McAfee ATD wybór tychże też jest dość duży. (poniższa tabela).

Sandbox 8

Takie podejście umożliwia przeskanowanie danej próbki poprzez więcej niż jedną maszynę wirtualną z różnymi wersjami wymienionych aplikacji, co zwiększa prawdopodobieństwo wykrycia zagrożenia Zero-Day. (przykład poniżej)

Analyze profile

Przygotowywanie maszyn wirtualnych

Obrazy maszyn wirtualnych tworzone są za pomocą VMWare Workstation na stacji roboczej administratora. Po przygotowaniu i przejściu procesu weryfikacji obrazu (dedykowanym narzędziem), plik .vmdk zostaje umieszczony (poprzez SCP) na ATD, gdzie w kolejnym kroku następuje konwersja na format .img i przeprowadzona weryfikacja poprawności.

Weryfikacja poprawności

Jeśli proces weryfikacji nie ujawnił błędów, plik obrazu jest gotowy do multiplikacji i użycia go w tzw. Profilach Analizy.

Profile Analizy

System McAfee ATD posiada wiele zaimplementowanych modułów wspomagających detekcję. Dzielą się one na dwa typy:

  • Analizę Statyczną (np. Reputacja, Black List, Skanowanie AV itp.)
  • Analizę Dynamiczną (np. Sandbox, Machine Learning itp.)
Sandbox image 11

W profilu analizy istnieje możliwość wyboru jakie moduły będą wykorzystywane. Zestawienie wszystkich możliwych modułów, znajduje się na poniższym zrzucie ekranowym.

Sandbox image 12

Jedną z opcji jest „Enable Malware Internet Access”. Opcja ta umożliwia dostęp do Internetu z wewnątrz maszyny wirtualnej, jeśli dany malware próbuje nawiązać komunikację. Ze względów bezpieczeństwa, do tego celu używany jest osobny interfejs ATD (osobne łącze).

Wspierane typy plików:

W celu zwiększenia skuteczności detekcji, Sanbox powinien posiadać możliwość obsługi jak największej liczby różnych typów plików. Oferowane przez nas McAfee ATD, oferuje skanowanie szerokiej gamy typów plików, umożliwiając też definicje maksymalnej/minimalnej wielkości pliku. (tabela poniżej).

Sandbox image 13

Integracja ATD z bramką pocztową

Urządzenie McAfee ATD może być integrowane z bramkami pocztowymi. Na urządzeniu możliwe jest uruchomienie tzw. Email Connector-a, który rozszerza możliwości ATD o skanowanie załączników e-mail (pracując w trybie MTA). ATD po przeskanowaniu pliku, nadaje wiadomości pocztowej odpowiedni nagłówek „X-ATD-VERDICT” z punktacją pliku. Informacja ta jest zwracana do Smart Host-a. Na tej podstawie możliwa jest definicja odpowiedniej akcji (np. zablokuj, przenieś do kwarantanny, dostarcz itp.). Schematycznie komunikacja pomiędzy Email Connector-em, ATD a Smart Hostem, przedstawia poniższy diagram.

Sandbox image 14

Natywna integracja ATD z innymi produktami McAfee

Dużym plusem rozwiązania McAfee ATD jest możliwość natywnej integracji z innymi produktami McAfee. Do możliwych integracji można zaliczyć:

- Integrację ze stacjami roboczymi poprzez lokalną bazę reputacji McAfee TIE Server (np. wysyłanie do skanowania w ATD plików o nieznanej reputacji)

- Integrację z systemem McAfee Web Gateway (Proxy) – analiza plików wysyłanych/pobieranych przez użytkownika protokołami http/HTTPS/FTP

- Integrację z systemem McAfee Network Security Platform (IPS) – ochrona na poziomie sieciowym

- Integrację z systemem SIEM – zasilanie plikami IOC

Sandbox image 15

Skanowanie na żądanie

System ATD posiada możliwość analizy plików na żądanie. Skanowanie to może odbyć się w trybie interaktywnym (XMode), lub zwykłym.

Sandbox image 16

Wynik analizy jest dostępny w GUI w postaci raportu wraz z możliwością pobrania pliku.

Sandbox image 17

W powyższym przypadku plik był już na Whitelist (analiza statyczna), więc nie został wysłany do analizy dynamicznej.

Raporty

System McAfee ATD posiada Dashboard, na którym pojawiają się sumaryczne informacje o wykrytych zagrożeniach, a także rozbudowany moduł raportujący. (W przypadku pracy kilku urządzeń w klastrze, dostęp do wszystkich raportów jest z głównego urządzenia - Primary). Poniżej znajduje się przykład wykrycia zagrożenia poprzez moduł dynamiczny (Sandbox).

Sandbox image 18

W Dashboardzie widoczna jest informacja o: nazwie pliku, wyniku analizy, wykorzystanym profilu analizy itp.

W ramach opcji dostępnych po analizie, są między innymi: raport w pdf/html, pobranie oryginalnej próbki, itp.

Sandbox image 19

Poniżej znajdują się informacje zaczerpnięte z raportu w ramach analizy pliku w formacie PDF:

Sandbox image 20
Sandbox image 21
Sandbox image 22


Podsumowując McAfee ATD to solidne narzędzie do analizy podejrzanych próbek. Biorąc pod uwagę stale i szybko rosnącą liczbę złośliwych programów wykorzystujących podatności zero-day, wykorzystanie sandbox’a może być nieocenioną pomocą w pracy każdego działu bezpieczeństwa IT.

Updates

Więcej aktualizacji