НА БАГАХ В CHROME - Xakep Online

PC ZONE1. Buster Sandbox Analyzer (bsa.isoftware.nl).2. SBIExtra (bit.ly/rDhDba). Этот плагин осуществляетперехват ряда функций для выполняемойв песочнице программы, чтобыблокировать следующие возможности:• обзор исполняемых процессов и потоков;• доступ к процессам вне пределов «песочницы»;• вызов функции BlockInput (ввод с клавиатурыи мыши);• считывание заголовков активных окон.3. Antidel (bit.ly/upYAfY). Аддон перехватываетфункции, отвечающие за удаление файлов.Таким образом, все временные файлы, командана удаление которых поступает от исходногокода, все равно остаются на своих местах.Как интегрировать их в «песочницу»? Посколькуэто не предусмотрено средствами интерфейсаSandboxie, редактировать файл конфигурациипридется вручную. В папке, куда мы установилиSandboxie, создаем папку Plugins и распаковываемв нее все подготовленные плагины. Теперьвнимание: в состав Buster Sandbox Analyzerвходит несколько библиотек с общим именемLOG_API*.dll, которые могут инжектироватьсяв процесс. Есть два типа библиотек: Verboseи Standard. Первый отображает практически полныйсписок вызовов API, выполняемых программой,включая обращения к файлам и реестру,второй — сокращенный список. Сокращениепозволяет ускорить работу и уменьшить журнал,который затем придется анализировать. Личноя не боюсь больших логов, зато опасаюсь того,что какая-нибудь нужная инфа будет заботливо«сокращена», поэтому выбираю Verbose. Именноэту библиотеку мы и будем инжектировать. Чтобызловред не смог заметить инжект библиотекипо ее имени, применим простейшую меру предосторожности:сменим имя LOG_API_VERBOSE.dllна любое другое, например LAPD.dll.Теперь в главном окне Sandboxie выбираем«Настроить Редактировать конфигурацию».Откроется текстовый конфиг со всемиСкачиваем образец малвари для анализанастройками программы. Сразу обращаемвнимание на следующие строки:• Параметр FileRootPath в разделе[GlobalSettings] указывает общий путьк папке изолированной среды, то естьк папке, где будут находиться все файлы«песочницы». У меня этот параметр имеетвид FileRootPath=C:\Sandbox\%SANDBOX%.• Раздел [UserSettings_XXXXXXX] нас не интересует— его пропускаем и листаем дальше.• Затем идет раздел, имя которого совпадаетс названием «песочницы» (пусть это будетBSA). Сюда мы и будем добавлять плагины:[BSA]InjectDll=C:\Program Files\Sandboxie\Plugins\sbiextra.dllInjectDll=C:\Program Files\Sandboxie\Plugins\antidel.dllInjectDll=C:\Program Files\Sandboxie\Plugins\LAPD.dllOpenWinClass=TFormBSAEnabled=yConfigLevel=7BoxNameTitle=nBorderColor=#0000FFNotifyInternetAccessDenied=yTemplate=BlockPortsПути, конечно, могут отличаться. Но порядокинжектируемых библиотек обязательно долженбыть именно таким! Это требование связанос тем, что перехват функций должен осуществлятьсяименно в указанном порядке, иначеплагины работать не будут. Чтобы применитьизменения, выбираем в главном окне Sandboxie:«Настроить Перезагрузить конфигурацию».Теперь настроим сам плагин Buster SandboxAnalyzer.• Запускаем плагин вручную, воспользовавшисьфайлом bsa.exe из папки Plugins.• Выбираем «Options Analysis mode Manual» и далее «Options ProgramOptions Windows Shell Integration Addright-click action "Run BSA"».Теперь всё готово для работы: наша «песочница»интегрирована в систему.ПРАКТИЧЕСКОЕ ПРИМЕНЕНИЕПопробуем наш инструмент на реальнойугрозе. Чтобы никто не упрекнул меня в подтасовке,я поступил просто: зашел на www.malwaredomainlist.com и скачал последнее,что там появилось на момент написаниястатьи. Это оказался премилый файл pp.exeс какого-то зараженного сайта. Одно тольконазвание внушает большие надежды, крометого, на этот файл сразу заорал мой антивирус.К слову, все наши манипуляции лучше производитьпри отключенном антивирусе, иначе мырискуем заблокировать/удалить что-нибудьиз того, что исследуем. Как изучить поведениябинарника? Просто нажимаем правой кнопкойна этот файл и выбираем в выпавшем менюпункт Run BSA. Откроется окно Buster SandboxAnalyzer. Внимательно смотрим в строкуSandbox folder to check. Все параметры должнысовпадать с теми, которые мы указали принастройке Sandboxie, то есть если песочницаполучила название BSA, а в качестве путик папке был задан параметр FileRootPath=C:\Sandbox\%SANDBOX%, то всё должно бытьPORTABLE-ВЕРСИЯ «ПЕСОЧНИЦЫ»Безусловно, многим не понравится, что надочто-то устанавливать, настраивать и т. д. Таккак меня всё это тоже не прельщает, я сделалпортабельную версию инструмента, которыйможно запускать без установки и настройки,прямо с флешки. Скачать такую версию можноздесь: tools.safezone.cc/gjf/Sandboxie-portable.zip.Для запуска «песочницы» достаточно выполнитьскрипт start.cmd, а по окончании работыне забыть выполнить скрипт stop.cmd, которыйполностью выгрузит драйвер и все компонентыиз памяти, а также сохранит внесенные в ходеработы изменения в портабеле.Настроек у самого портабелизатора совсемне много: его работа в основном основанана манипуляциях с файлом Sandboxie.ini.template, находящегося в папке Templates.По сути, этот файл представляет собой файлнастроек Sandboxie, который должным образомобрабатывается и передается программе,а по окончании работы перезаписываетсяобратно в Templates. Если открыть этотфайл «Блокнотом», то ты вряд ли найдешьчто-то интересное. Нужно обязательнообратить внимание на шаблон $(InstallDrive),повторяющийся в ряде параметров пути.Особенно нас интересует параметр FileRootPath.Если он имеет следующий вид:FileRootPath=$(InstallDrive)\Sandbox\%SANDBOX%— то «песочницы» будут создаватьсяна диске, где находится портабельная Sandboxie.Если же параметр имеет, например, такой вид:FileRootPath=C:\Sandbox\%SANDBOX%— иначе говоря в нем указан определенныйсистемный диск, то «песочницы» будутсоздаваться на этом диске.Лично я рекомендую всегда создаватьпесочницы на локальных дисках. Это ускоряетработу инструмента, а при запуске с флешки —ускоряет на порядки. Если же тебя настолькозамучила паранойя, что хочется всё запускатьи анализировать на любимом носителе,который ты носишь у сердца, то параметрможно поменять, но тогда хотя бы используйпортабельные жесткие диски, чтобы всёбезбожно не тормозило.038ХАКЕР 02 /157/ 2012