Изолированная среда для анализа потенциально вредоносных приложений (песочница)

МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РФ
ФГБОУ ВО «АСТРАХАНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
ИМ. В.Н.ТАТИЩЕВА
КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 ВЫПОЛНИЛ:
СТУДЕНТ ГРУППЫ ЗИ-41

Актуальность

Информация, полученная в ходе анализа, может быть использована для улучшения и развития мер безопасности, таких как антивирусное программное обеспечение и системы обнаружения вторжений. Кроме того, она может использоваться для выявления активных угроз и реагирования на них. Изучая образцы вредоносных программ, специалисты по безопасности могут получить представление о намерениях злоумышленников или целевых субъектах атаки.

Цели и задачи:

Цель:

Изучение изолированных сред для анализа потенциально вредоносных приложений.

Задачи:

• Рассмотреть понятие виртуальной машины

• Изучить принципы действия виртуальной машины как песочницы

• Рассмотреть достоинства и ограничения песочниц

• Установить и настроить виртуальную машину в качестве изолированной среды для анализа вредоносных приложений

• Провести исследование вредоносных программ в изолированной среде

Принципы использования виртуальной машины как песочницы

• Песочницы на основе полной виртуализации считаются наиболее безопасным вариантом

• Они используют виртуальную машину с ОС для создания изолированной и контролируемой среды для анализа приложений

• Виртуальная машина действует как «слой виртуализации» между хост-системой и ОС, запущенной в виртуальной машине, изолируя и контролируя доступ к ресурсам и предотвращая прямое взаимодействие с хост-системой и ее данными

• Вирусу сложно покинуть виртуальную машину, поскольку каждая ВМ является автономной, со своим собственным виртуальным оборудованием и ОС

Достоинства использования песочниц

• Изолирует потенциально вредоносный код или программное обеспечение от хост-системы, что позволяет предотвратить ее заражение

• Предоставляет различные инструменты и ресурсы для анализа и тестирования

• Позволяют тестировать и анализировать потенциально вредоносный код или программное обеспечение в контролируемой среде

• Контролируемая среда песочницы позволяет установить определенные параметры и условия для работы приложения, точно имитируя реальные сценарии атаки

Ограничения использования виртуальных машин как песочниц

• Виртуальная машина имеет фиксированный объем памяти, хранилища и вычислительной мощности

• Некоторые вредоносные приложения могут обнаружить и обойти песочницу

• Невозможность анализа физического оборудования или устройств

Инструменты для анализа вредоносного ПО

• IDA Pro (дизассемблер и отладчик)

• Wireshark (анализатор сетевых протоколов)

• InetSim (симуляция Интернет-сервисов)

• Cuckoo Sandbox (система для автоматического исследования вредоносного ПО)

• Any.Run, Hybrid-Analysis.com и Opentip.Kaspersky.com (онлайн-песочницы)

Исследование WannaCry при помощи Process Monitor

Исследование Trojan.Stabuniq при помощи Wireshark

Заключение

В работе был рассмотрен вопрос использования изолированной среды для анализа потенциально вредоносных приложений. Была создана изолированная среда на базе средства виртуализации VMWare и проведено исследование программы-вымогателя WannaCry и вредоносного ПО Trojan.Stabuniq. В ходе исследования были выявлены перемещения и действия внутри виртуальной машины программы WannaCry и вредоносного ПО Trojan.Stabuniq, определены паттерны заражения, которые будут актуальны в случае реального проникновения программ на компьютер жертвы.

Были достигнуты следующие задачи:

• Рассмотрено понятие виртуальной машин

• Изучены принципы действия виртуальной машины как песочниц

• Рассмотрены достоинства и ограничения песочниц

• Установлена и настроена виртуальная машина в качестве изолированной среды

• Проведено исследование вредоносных программ в изолированной среде

МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РФ
ФГБОУ ВО «АСТРАХАНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
ИМ. В.Н.ТАТИЩЕВА
КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 ВЫПОЛНИЛ:
СТУДЕНТ ГРУППЫ ЗИ-41