• 📣 БЕСПЛАТНЫЙ ВЕБИНАР WAPT & SQLiM: взламываем веб как профессионалы. Ждем вас 3 апреля 19:00 (МСК). регистрация здесь. Что разберём: Поиск уязвимостей через фаззинг, Реальные SQL- и командные инъекции (с выводом RCE), Эскалация привилегий после взлома, Разбор похожих задач из курсов WAPT и SQLiM.

    >>> Подробнее <<<

Windows Sandbox

NPA и NISC опубликовали рекомендации по безопасности против группировки MirrorFace, атакующую организации в Японии. В своих атаках злоумышленники использовали Windows Sandbox и Visual Studio Code.

1743239808683.webp


Метод атаки

MirrorFace использовали ВПО LilimRAT, которое включает функцию проверки наличия папки пользователя WDAGUtilityAccount, и если такой папки нет, программа завершает работу.
Поскольку WDAGUtilityAccount используется в качестве пользователя по умолчанию в Windows Sandbox, вероятно LilimRAT был специально разработан для работы только в Windows Sandbox.

По умолчанию Windows Sandbox отключена, поэтому после компрометации целевого компьютера злоумышленник её включает.
Поскольку песочница становится активной только после перезагрузки хост-компьютера, злоумышленник создает в системе файл конфигурации WSB (в котором задает необходимые ему параметры: общий доступ к папке, сетевое подключение, запуск BAT файла при запуске), а затем перезагружает хост-компьютер. Ниже приведен пример файла конфигурации WSB:

Код:
<Configuration>
 <Networking>Enable</Networking>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Users\Public\Downloads</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>
    <ReadOnly>false</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>explorer.exe</Command>
  </LogonCommand>
  <MemoryInMB>1024</MemoryInMB>
</Configuration>

После перезагрузки Windows Sandbox становится доступной, и ВПО запускается в песочнице в соответствии с конфигурацией файла WSB. В случае успеха злоумышленник получает контроль над средой песочницы на взломанном хосте через сервер C2.
Стоит также упомянуть, что Windows Defender по умолчанию отключен в Windows Sandbox и не может быть включен ни с помощью графического интерфейса, ни с помощью команд PowerShell. Таким образом различные инструменты для атак, используемые в песочнице, остаются незамеченными. Сама же песочница доступна в версиях ОС Windows 10 (Build 18342 и выше) и Windows 11.

Недавние обновления Windows

Изменения в Windows Sandbox после обновления Windows 11 заключаются в следующем:
  • добавлена команда wsb.exe, позволяющая запускать песочницу через командную строку;
  • песочница может запускаться в фоновом режиме;
  • можно изменять некоторые настройки через графический интерфейс.
Процесс wsb.exe позволяет запускать Windows Sandbox, перечислять запущенные экземпляры и подключаться к сеансу Sandbox:

Код:
> wsb.exe start -c "<Configuration> <Networking>Enable</Networking><MappedFolders><MappedFolder><HostFolder>C:\Users\Public\Downloads</HostFolder><SandboxFolder>C:\Users\WDAGUtilityAccount\Desktop</SandboxFolder><ReadOnly>false</ReadOnly></MappedFolder></MappedFolders><LogonCommand><Command>C:\Users\WDAGUtilityAccount\Desktop\a.bat</Command></LogonCommand><MemoryInMB>1024</MemoryInMB></Configuration>"
Windows Sandbox environment started successfully:
Id: c2d290db-5986-4c06-bd7b-05f35f091fa4

Таким образом, недавние обновления функций могут усложнить обнаружение атак с использованием Windows Sandbox. Основные причины этого заключаются в следующем:
  1. Фоновое выполнение Windows Sandbox. Ранее в Windows 10 и ранних версиях Windows 11 Windows Sandbox всегда запускалась как приложение с графическим интерфейсом без фонового режима. Однако с помощью новой команды запуска wsb.exe теперь она может запускаться в фоновом режиме. В результате песочницу можно запустить незаметно для пользователя, и её окно будет скрыто до тех пор, пока не будет выполнена команда подключения wsb.exe.
  2. Выполнение в песочнице без файла WSB. Обновлённая команда wsb.exe позволяет задавать конфигурации песочницы с помощью аргументов командной строки. Ранее файлы WSB были важным артефактом при расследовании, но это изменение повышает риск того, что использование песочницы останется незамеченным.
  3. В более ранних версиях закрытие окна песочницы Windows завершало процесс и удаляло все данные в среде. Однако после обновления закрытие окна не останавливает песочницу, и её данные остаются нетронутыми. Чтобы удалить данные, песочницу необходимо явно остановить с помощью команды wsb.exe stop или завершить работу, выключив хост-компьютер. Это изменение значительно увеличивает вероятность длительных операций злоумышленников внутри песочницы.
Мониторинг
  • Мониторинг процессов изолированной среды и памяти;
  • Отслеживание действий, связанных с файлами WSB;
  • Кроме того, Windows Sandbox использует сетевой адаптер хост-компьютера. В результате, если ВПО внутри песочницы связывается с С2, в качестве исходного IP-адреса будет использоваться IP-адрес хост-компьютера. Это означает, что стандартный мониторинг сети по-прежнему может быть эффективным. Однако при использовании Tor потребуется реализовать механизм обнаружения сетевого трафика Tor;
  • Процессы, связанные с Windows Sandbox: WindowsSandbox.exe, WindowsSandboxClient.exe, cmproxyd.exe, WindowsSandboxServer.exe, WindowsSandboxRemoteSession.exe, wsb.exe;
  • процессы запущенные непосредственно в песочнице: vmmem для Windows 10, vmmemWindowsSandbox для Windows 11.
В качестве мер противодействия можно предложить:
  • Оставить Windows Sandbox по умолчанию в отключённом состоянии;
  • Не предоставлять пользователем права администратора, так как она может быть включена только с помощью этих прав;
  • Блокировать песочницу с помощью встроенной функции безопасности в ОС Windows - AppLocker.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!