Обход виртуализации и песочниц

Оригинал: Virtualization/Sandbox Evasion

Злоумышленники могут применять различные способы, чтобы распознавать и обходить среды виртуализации и анализа. В том числе они могут изменять поведение вредоносного ПО по результатам проверок на наличие артефактов, характерных для среды виртуальной машины (VME) или песочницы. Если злоумышленник обнаруживает VME, он может изменить вредоносное ПО так, чтобы оно прекратило работу в системе жертвы или скрыло основные функции импланта. Также злоумышленники могут искать артефакты VME перед загрузкой вторичных или дополнительных полезных нагрузок.

Для обхода виртуализации и песочниц злоумышленники могут использовать разные методы: проверять наличие средств мониторинга безопасности, например Sysinternals или Wireshark, а также других системных артефактов, связанных с анализом или виртуализацией. К таким артефактам относятся ключи реестра, например подстроки Vmware, VBOX или QEMU, переменные окружения, например подстроки VBOX, VMWARE или PARALLELS, MAC-адреса сетевых адаптеров, например префиксы 00-05-69 (VMWare) или 08-00-27 (VirtualBox), и запущенные процессы, например vmware.exe, vboxservice.exe или qemu-ga.exe [[research]].

Тактики

Примеры процедур из кейсов

Источники