Что такое Kaspersky Research Sandbox | Блог Касперского

Kaspersky Research Sandbox — это «песочница» для исследования сложных угроз, которую можно развернуть внутри корпоративной инфраструктуры.

Авторы массовых троянов прикладывают кучу усилий, чтобы запустить исполнение своего вредоносного кода на компьютере жертвы. Однако создатели сложных угроз и операторы APT-атак затрачивают не меньше ресурсов на создание механизмов, позволяющих не запускать свой код. Так они пытаются обойти защитные технологии, в частности всевозможные «песочницы».

Песочницы и методы их выявления

Один из базовых механизмов выявления вредоносной активности — так называемая «песочница». По сути это контролируемая изолированная среда, в которой исполнение подозрительного кода не может нанести никакого вреда. В то же время защитный продукт анализирует действия программы, и если обнаруживает вредоносную активность, запрещает исполнение кода вне «песочницы».

Против массовых угроз этот метод весьма эффективен. В том или ином виде механизм «песочницы» реализован в большинстве защитных решений. Поэтому злоумышленники уже давно начали встраивать в свои разработки технологии, единственная цель которых — определить, не запущен ли вредонос в контролируемой среде. Самые простые способы — обращение к стороннему серверу (обычный sandbox не даст установить связь) или проверка параметров системы. Если что-то не будет соответствовать нужной злоумышленнику картине, то вредонос, скорее всего, самоуничтожится. Более сложные зловреды пытаются проверить, есть ли в системе пользователь. Ведь если код запустился, а следов активности человека не наблюдается, то это явный признак того, что дело происходит в «песочнице».

Разумеется, мы, в свою очередь, совершенствуем технологии антиуклонения. В частности, у нас в инфраструктуре работает мощная «песочница», вооруженная накопленными «Лабораторией Касперского» знаниями о всевозможной вредоносной активности и механизмами, способными эмулировать разнообразные среды. Частью функций этой «песочницы» исследователи могут воспользоваться удаленно при помощи нашего решения Kaspersky Cloud Sandbox.

Но это не всегда удобно для крупных компаний, в которых работают полноценные центры противодействия киберугрозам. Во-первых, в силу внутренних регламентов или правил, установленных регуляторами, они зачастую не имеют права передавать какую-либо информацию на сторонние серверы. Во-вторых, вредоносы, написанные специально для атаки на конкретные компании, могут проверять какие-нибудь специфичные для конкретной инфраструктуры условия (например, наличие узкоспециализированных программ). Поэтому мы разработали новое решение, которое может быть развернуто внутри корпоративной инфраструктуры: Kaspersky Research Sandbox.

Ключевые особенности Kaspersky Research Sandbox

Kaspersky Research Sandbox не передает ничего из инфраструктуры. При необходимости эта песочница может работать через Kaspersky Private Security Network — систему, функционирующую в режиме дата-диода. Но главное преимущество решения в том, что оно позволяет исследователям создавать собственную среду для эмуляции. Таким образом, они могут создать точную изолированную копию стандартной для их компании рабочей станции и исследовать поведение подозрительных объектов на ней.

Причем технологии Kaspersky Research Sandbox не просто отслеживают все происходящее в этой изолированной среде с помощью инструментов бихевиористического анализа, но и эмулируют работу человека в тестовой системе.

Решение позволяет эмулировать не только системы семейства Microsoft Windows, но и Android. Подробнее о возможностях Kaspersky Research Sandbox можно узнать на странице решения.

17.02.2021