Ads
Comments 26
Это очень круто. Положил в закладки, что-то мне подсказывает, что рано или поздно этот гайд спасет меня.
Спасибо огромное.
Получается, что надо куда то постоянно отправлять свои файлы для проверки? Это же утечка информации?
Вы прочитали статью до конца?
В том то и дело, если отправлять на Malwr или Anubis или тот-же Virustotal то по сути это утечка и с точки зрения утверждённых регламентов ИБ неприемлемо. Но когда с нуля поднимаешь свой сервис и конфигурируешь доступ к сервису только со своей сети — утечкой это не является, хост с песочницей становится по сути частью инфраструктуры организации, для большей уверенности на хост можно поставить OSSEC, например воспользовавшись материалом, предоставленным Neuronix или-же данным мануалом от Traveler и отправлять логи OSSEC в используемую в организации SIEM систему, такой подход к решению данной задачи будет комплексным и вполне приемлемым.
Прочитал, но сразу не понял :-)Спасибо!
Еще вопрос — замеряли производительность системы? Сколько может обрабатывать файлов в минуту?

Хотелось бы сделать так чтобы все перемещающиеся в компании файлы проходили через песочницу. Или, автоматизировать проверку всех файлов, передаваемых пользователями нашей системы друг другу через нашу систему.
На VPS Digitalocean, упомянутой в начале статьи файл анализируется минут 8-10, это с дампом памяти, если без, то пара минут, а насчёт проверки вложений, вот вам скрипт за основу, который атачи выгружает, можно его под себя адаптировать, а файлы локально проверять по крону в песочнице например
Считать файл безопасным если эта система (да и любая другая автоматическая) сказала что он чист — нельзя.
Ручной анализ даст более правильную картину.
Вы абсолютно правы, но лишь в том случае, если специалист имеет достаточное количество знаний в этой узкопрофильной области, чтобы провести грамотный ручной анализ файла.
А если не имеет ему и песочница не поможет, если троян не совсем дурной.
Тут Вы тоже абсолютно правы, например просканировал в песочнице бинарник вируса BetaBot, слитого в сеть с контрольной панелью и взломанного неким исследователем с ником Xylit0l. При запуске в обычном режиме Userland вирус ничего подозрительного особо не делает, смотрит некоторые ключи реестра, но песочница считает файл «чистым», не считая только отчёта из virustotal:
Картинка
image

А если запустить с драйвером zer0m0n, то появляется гораздо больше процессов и анализ вместе с песочницей полностью подвисает после запуска процесса dfrgntfs.exe
Картинка
image

К сожалению мои познания в этой области пока-что малы и не позволяют мне проанализировать файл вручную.
Буду вам крайне признателен, если порекомендуете хорошую литературу по этой теме :)
ПО вручную, с помощью песочниц и разных утилит, но самым простым и быстрым из всех способов проанализировать вирус оказался malwr.com – сервис автоматического анализа файла в песочнице.


Стоит отметить ещё такой сервис, как Анубис. Пример отчёта о сканировании в PDF
Кстати да, тоже им пользуюсь. Удобная штука, если есть сомнения в результатах проверки на VirusTotal.
Собственно, по быстренькому (без длительных очередей) посмотреть, что делает исполняемый модуль можно и через вирустотал, в закладке Поведение.
Статью написал за сутки, из них полдня составлял и обкатывал скрипт. Собрал сервис за выходные, а потом в течении месяца после работы допиливал некоторые косячки и проблемы. Изначально это был мини гайд для коллег, а после вспомнил, что на хабре не нашёл инфы и решил поделиться со всеми, да и наконец пришло время получить инвайт :)
так я в течении месяца пометки делал по установке, а скомпоновал за день :)
Чёрт возьми, вот это классно. Думаю, придётся как-нибудь собрать такую штуку на отдельной машине =)
Сразу вспомнилось это:

image
А не могли бы вы заодно поделиться готовым образом DO? Насколько я помню у них с некоторых пор появилась такая возможность.

Благодарю.
Или можете спросить мой образ у хабраюзера PocketSam

Спрашиваю. Можете поделиться?
Присоединяюсь к вышеупомянутой просьбе. Поделитесь, пожалуйста, образом подготовленной ВМ в любом удобном для Вас формате.
я его к сожалению уже удалил, а на рабочей песочнице уже поднято много других сервисов и она уже содержит в себе много внутренней информации. Создайте новый VPS, запустите готовый скрипт и через 15 минут, максимум час вам лишь нужно будет выполнить несложную установку Windows с последующей установкой софта, работать должно, я с нуля своим полуавтоматическим методом собрал песочницу за 2 часа (в т.ч. 40 минут установка винды и 20 минут выгрузка базы с clamav со скоростью 2-8 кб/c)
Или можете спросить мой образ у хабраюзера PocketSam
Only those users with full accounts are able to leave comments. Log in, please.