NPA и NISC опубликовали рекомендации по безопасности против группировки MirrorFace, атакующую организации в Японии. В своих атаках злоумышленники использовали Windows Sandbox и Visual Studio Code.
Метод атаки
MirrorFace использовали ВПО LilimRAT, которое включает функцию проверки наличия папки пользователя WDAGUtilityAccount, и если такой папки нет, программа завершает работу.
Поскольку WDAGUtilityAccount используется в качестве пользователя по умолчанию в Windows Sandbox, вероятно LilimRAT был специально разработан для работы только в Windows Sandbox.
По умолчанию Windows Sandbox отключена, поэтому после компрометации целевого компьютера злоумышленник её включает.
Поскольку песочница становится активной только после перезагрузки хост-компьютера, злоумышленник создает в системе файл конфигурации WSB (в котором задает необходимые ему параметры: общий доступ к папке, сетевое подключение, запуск BAT файла при запуске), а затем перезагружает хост-компьютер. Ниже приведен пример файла конфигурации WSB:
После перезагрузки Windows Sandbox становится доступной, и ВПО запускается в песочнице в соответствии с конфигурацией файла WSB. В случае успеха злоумышленник получает контроль над средой песочницы на взломанном хосте через сервер C2.
Стоит также упомянуть, что Windows Defender по умолчанию отключен в Windows Sandbox и не может быть включен ни с помощью графического интерфейса, ни с помощью команд PowerShell. Таким образом различные инструменты для атак, используемые в песочнице, остаются незамеченными. Сама же песочница доступна в версиях ОС Windows 10 (Build 18342 и выше) и Windows 11.
Недавние обновления Windows
Изменения в Windows Sandbox после обновления Windows 11 заключаются в следующем:
Таким образом, недавние обновления функций могут усложнить обнаружение атак с использованием Windows Sandbox. Основные причины этого заключаются в следующем:
Метод атаки
MirrorFace использовали ВПО LilimRAT, которое включает функцию проверки наличия папки пользователя WDAGUtilityAccount, и если такой папки нет, программа завершает работу.
Поскольку WDAGUtilityAccount используется в качестве пользователя по умолчанию в Windows Sandbox, вероятно LilimRAT был специально разработан для работы только в Windows Sandbox.
По умолчанию Windows Sandbox отключена, поэтому после компрометации целевого компьютера злоумышленник её включает.
Поскольку песочница становится активной только после перезагрузки хост-компьютера, злоумышленник создает в системе файл конфигурации WSB (в котором задает необходимые ему параметры: общий доступ к папке, сетевое подключение, запуск BAT файла при запуске), а затем перезагружает хост-компьютер. Ниже приведен пример файла конфигурации WSB:
Код:
<Configuration>
<Networking>Enable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\Users\Public\Downloads</HostFolder>
<SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>
<ReadOnly>false</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>explorer.exe</Command>
</LogonCommand>
<MemoryInMB>1024</MemoryInMB>
</Configuration>
После перезагрузки Windows Sandbox становится доступной, и ВПО запускается в песочнице в соответствии с конфигурацией файла WSB. В случае успеха злоумышленник получает контроль над средой песочницы на взломанном хосте через сервер C2.
Стоит также упомянуть, что Windows Defender по умолчанию отключен в Windows Sandbox и не может быть включен ни с помощью графического интерфейса, ни с помощью команд PowerShell. Таким образом различные инструменты для атак, используемые в песочнице, остаются незамеченными. Сама же песочница доступна в версиях ОС Windows 10 (Build 18342 и выше) и Windows 11.
Недавние обновления Windows
Изменения в Windows Sandbox после обновления Windows 11 заключаются в следующем:
- добавлена команда wsb.exe, позволяющая запускать песочницу через командную строку;
- песочница может запускаться в фоновом режиме;
- можно изменять некоторые настройки через графический интерфейс.
Код:
> wsb.exe start -c "<Configuration> <Networking>Enable</Networking><MappedFolders><MappedFolder><HostFolder>C:\Users\Public\Downloads</HostFolder><SandboxFolder>C:\Users\WDAGUtilityAccount\Desktop</SandboxFolder><ReadOnly>false</ReadOnly></MappedFolder></MappedFolders><LogonCommand><Command>C:\Users\WDAGUtilityAccount\Desktop\a.bat</Command></LogonCommand><MemoryInMB>1024</MemoryInMB></Configuration>"
Windows Sandbox environment started successfully:
Id: c2d290db-5986-4c06-bd7b-05f35f091fa4
Таким образом, недавние обновления функций могут усложнить обнаружение атак с использованием Windows Sandbox. Основные причины этого заключаются в следующем:
- Фоновое выполнение Windows Sandbox. Ранее в Windows 10 и ранних версиях Windows 11 Windows Sandbox всегда запускалась как приложение с графическим интерфейсом без фонового режима. Однако с помощью новой команды запуска wsb.exe теперь она может запускаться в фоновом режиме. В результате песочницу можно запустить незаметно для пользователя, и её окно будет скрыто до тех пор, пока не будет выполнена команда подключения wsb.exe.
- Выполнение в песочнице без файла WSB. Обновлённая команда wsb.exe позволяет задавать конфигурации песочницы с помощью аргументов командной строки. Ранее файлы WSB были важным артефактом при расследовании, но это изменение повышает риск того, что использование песочницы останется незамеченным.
- В более ранних версиях закрытие окна песочницы Windows завершало процесс и удаляло все данные в среде. Однако после обновления закрытие окна не останавливает песочницу, и её данные остаются нетронутыми. Чтобы удалить данные, песочницу необходимо явно остановить с помощью команды
wsb.exe stop
или завершить работу, выключив хост-компьютер. Это изменение значительно увеличивает вероятность длительных операций злоумышленников внутри песочницы.
- Мониторинг процессов изолированной среды и памяти;
- Отслеживание действий, связанных с файлами WSB;
- Кроме того, Windows Sandbox использует сетевой адаптер хост-компьютера. В результате, если ВПО внутри песочницы связывается с С2, в качестве исходного IP-адреса будет использоваться IP-адрес хост-компьютера. Это означает, что стандартный мониторинг сети по-прежнему может быть эффективным. Однако при использовании Tor потребуется реализовать механизм обнаружения сетевого трафика Tor;
- Процессы, связанные с Windows Sandbox: WindowsSandbox.exe, WindowsSandboxClient.exe, cmproxyd.exe, WindowsSandboxServer.exe, WindowsSandboxRemoteSession.exe, wsb.exe;
- процессы запущенные непосредственно в песочнице: vmmem для Windows 10, vmmemWindowsSandbox для Windows 11.
- Оставить Windows Sandbox по умолчанию в отключённом состоянии;
- Не предоставлять пользователем права администратора, так как она может быть включена только с помощью этих прав;
- Блокировать песочницу с помощью встроенной функции безопасности в ОС Windows - AppLocker.