本記事は、オライリージャパンから発行されている「サイバーセキュリティプログラミング ―Pythonで学ぶハッカーの思考(原題:Black Hat Python)」の学習メモとして、書籍ではPython2で書かれていますが、自分なりに解釈した上でPython3に書き直しをしています。
今回は、セキュリティ対策ソフトなどで利用されているサンドボックスについて学んでいきます。
シグネチャベースとは
セキュリティ対策ソフトなどでは、以前からマルウェアを検知するためにシグネチャ(Signature)と呼ばれる手法を使っています。
これはマルウェアに共通する一連のバイトシーケンスをデータベース化し、ファイルにこれらのバイトシーケンスがあるかどうかをチェックします。
しかし、この場合はマルウェアが既知のものに限定されるため、新たなマルウェアには対応することができません。
サンドボックスとは
サンドボックス(Sandbox)とは、子供の遊び場としての砂場を意味します。
コンピュータ上に砂場のような攻撃されてもいい仮想環境を作成し、その中でファイルを実行し様子を見ます。
もし、怪しい行動が見られれば、それをマルウェアと判断し、実行を阻止します。
しかし、これにはマルウェアかどうかを判断するまでに、ある程度の時間が必要となります。
サンドボックスを検知する
上記のサンドボックスを検知するには、時間の経過とともに通常ではありえない操作がされているかを判断します。
書籍では、ダブルクリックの回数と経過時間を比較し、異常な入力がないかを判断材料にしています。
以下がスクリプトになります。
# sandbox_detect.py import ctypes import random import time import sys user32 = ctypes.windll.user32 kernel32 = ctypes.windll.kernel32 keystrokes = 0 mouse_clicks = 0 double_clicks = 0 class LastInputInfo(ctypes.Structure): _fields_ = [("cbSize", ctypes.c_uint), ("dwTime", ctypes.c_ulong)] def get_last_input(): struct_lastinputinfo = LastInputInfo() struct_lastinputinfo.cbSize = ctypes.sizeof(LastInputInfo) user32.GetLastInputInfo(ctypes.byref(struct_lastinputinfo)) run_time = kernel32.GetTickCount() elapsed = run_time - struct_lastinputinfo.dwTime print("[*] It's been {} milliseconds since the last input event.".format(elapsed)) return elapsed def get_key_press(): global mouse_clicks global keystrokes for i in range(0, 0xff): if user32.GetAsyncKeyState(i) == -32767: if i == 0x1: mouse_clicks += 1 return time.time() elif i > 32 and i < 127: keystrokes += 1 return None def detect_sandbox(): global mouse_clicks global keystrokes max_keystrokes = random.randint(5,10) max_mouse_clicks = random.randint(5,10) double_clicks = 0 max_double_clicks = 5 double_click_threshold = 0.250 first_double_click = None average_mousetime = 0 max_input_threshold = 30000 previous_timestamp = None detection_complete = False last_input = get_last_input() if last_input >= max_input_threshold: sys.exit(0) while not detection_complete: keypress_time = get_key_press() if keypress_time is not None and previous_timestamp is not None: elapsed = keypress_time - previous_timestamp if elapsed <= double_click_threshold: double_clicks += 1 if first_double_click is None: first_double_click = time.time() else: if double_clicks == max_double_clicks: if keypress_time - first_double_click <= (max_double_clicks * double_click_threshold): sys.exit(0) if keystrokes >= max_keystrokes or double_clicks >= max_double_clicks or mouse_clicks >= max_mouse_clicks: return previous_timestamp = keypress_time elif keypress_time is not None: previous_timestamp = keypress_time detect_sandbox() print("We are ok!") print("keystrokes: {}".format(keystrokes)) print("mouse_clicks: {}".format(mouse_clicks)) print("double_clicks: {}".format(double_clicks))
なお、上記のスクリプトではマウスの左クリックをした際に状態が引き継がれて、右クリックをしてあげないと解放されないため、今後の課題とします。
動作確認
それでは、上記で作成したスクリプトを実行します。
> python sandbox_detect.py [*] It's been 47 milliseconds since the last input event. We are ok! keystrokes: 6 mouse_clicks: 20 double_clicks: 0
通常のキー入力とマウスクリックの回数だったため、問題なく終了しました。
最後に
今回はサンドボックス内でファイルが実行されているかを判断する方法について学びました。
サンドボックスについては、各セキュリティ対策ソフトごとに閾値が異なると思いますので、万能に検知をさせるのは結構難しいと思われます。