本記事は、オライリージャパンから発行されている「サイバーセキュリティプログラミング ―Pythonで学ぶハッカーの思考(原題:Black Hat Python)
今回は、セキュリティ対策ソフトなどで利用されているサンドボックスについて学んでいきます。
シグネチャベースとは
セキュリティ対策ソフトなどでは、以前からマルウェアを検知するためにシグネチャ(Signature)と呼ばれる手法を使っています。
これはマルウェアに共通する一連のバイトシーケンスをデータベース化し、ファイルにこれらのバイトシーケンスがあるかどうかをチェックします。
しかし、この場合はマルウェアが既知のものに限定されるため、新たなマルウェアには対応することができません。
サンドボックスとは
サンドボックス(Sandbox)とは、子供の遊び場としての砂場を意味します。
コンピュータ上に砂場のような攻撃されてもいい仮想環境を作成し、その中でファイルを実行し様子を見ます。
もし、怪しい行動が見られれば、それをマルウェアと判断し、実行を阻止します。
しかし、これにはマルウェアかどうかを判断するまでに、ある程度の時間が必要となります。
サンドボックスを検知する
上記のサンドボックスを検知するには、時間の経過とともに通常ではありえない操作がされているかを判断します。
書籍では、ダブルクリックの回数と経過時間を比較し、異常な入力がないかを判断材料にしています。
以下がスクリプトになります。
# sandbox_detect.py
import ctypes
import random
import time
import sys
user32 = ctypes.windll.user32
kernel32 = ctypes.windll.kernel32
keystrokes = 0
mouse_clicks = 0
double_clicks = 0
class LastInputInfo(ctypes.Structure):
_fields_ = [("cbSize", ctypes.c_uint),
("dwTime", ctypes.c_ulong)]
def get_last_input():
struct_lastinputinfo = LastInputInfo()
struct_lastinputinfo.cbSize = ctypes.sizeof(LastInputInfo)
user32.GetLastInputInfo(ctypes.byref(struct_lastinputinfo))
run_time = kernel32.GetTickCount()
elapsed = run_time - struct_lastinputinfo.dwTime
print("[*] It's been {} milliseconds since the last input event.".format(elapsed))
return elapsed
def get_key_press():
global mouse_clicks
global keystrokes
for i in range(0, 0xff):
if user32.GetAsyncKeyState(i) == -32767:
if i == 0x1:
mouse_clicks += 1
return time.time()
elif i > 32 and i < 127:
keystrokes += 1
return None
def detect_sandbox():
global mouse_clicks
global keystrokes
max_keystrokes = random.randint(5,10)
max_mouse_clicks = random.randint(5,10)
double_clicks = 0
max_double_clicks = 5
double_click_threshold = 0.250
first_double_click = None
average_mousetime = 0
max_input_threshold = 30000
previous_timestamp = None
detection_complete = False
last_input = get_last_input()
if last_input >= max_input_threshold:
sys.exit(0)
while not detection_complete:
keypress_time = get_key_press()
if keypress_time is not None and previous_timestamp is not None:
elapsed = keypress_time - previous_timestamp
if elapsed <= double_click_threshold:
double_clicks += 1
if first_double_click is None:
first_double_click = time.time()
else:
if double_clicks == max_double_clicks:
if keypress_time - first_double_click <= (max_double_clicks * double_click_threshold):
sys.exit(0)
if keystrokes >= max_keystrokes or double_clicks >= max_double_clicks or mouse_clicks >= max_mouse_clicks:
return
previous_timestamp = keypress_time
elif keypress_time is not None:
previous_timestamp = keypress_time
detect_sandbox()
print("We are ok!")
print("keystrokes: {}".format(keystrokes))
print("mouse_clicks: {}".format(mouse_clicks))
print("double_clicks: {}".format(double_clicks))
なお、上記のスクリプトではマウスの左クリックをした際に状態が引き継がれて、右クリックをしてあげないと解放されないため、今後の課題とします。
動作確認
それでは、上記で作成したスクリプトを実行します。
> python sandbox_detect.py [*] It's been 47 milliseconds since the last input event. We are ok! keystrokes: 6 mouse_clicks: 20 double_clicks: 0
通常のキー入力とマウスクリックの回数だったため、問題なく終了しました。
最後に
今回はサンドボックス内でファイルが実行されているかを判断する方法について学びました。
サンドボックスについては、各セキュリティ対策ソフトごとに閾値が異なると思いますので、万能に検知をさせるのは結構難しいと思われます。
参考書籍
サイバーセキュリティプログラミング ―Pythonで学ぶハッカーの思考
