Sandbox-/Emulator-Erkennung
Was ist Sandbox-/Emulator-Erkennung?
Sandbox-/Emulator-ErkennungAnti-Analyse-Techniken in Malware, die erkennen, wenn der Host eine Analyse-Sandbox, ein Emulator oder eine VM ist, und sich dann nicht ausfuhrt, um der Erkennung zu entgehen.
Sandbox-/Emulator-Erkennung ist eine Klasse von Defense-Evasion-Verhalten: Malware identifiziert automatisierte Analyseumgebungen — Cuckoo, Joe Sandbox, ANY.RUN, Hatching Triage, FireEye AX, kommerzielle VMware-Sandboxes — und bleibt dann passiv oder zeigt unverdaechtiges Verhalten. Ueblich sind Prufungen auf VirtualBox-/VMware-MAC-Bereiche, virtio-Treiber, Hyper-V-CPUID 'Microsoft Hv', sehr kleine Disk-/RAM-Groesse, wenige CPU-Kerne, nur ein Benutzerkonto, kaum 'recent files', beschleunigte Maus ohne Bewegung, Praesenz von Wireshark, x64dbg, OllyDbg sowie zeitliches Stallen. MITRE-ATT&CK T1497 (Virtualization/Sandbox Evasion) erfasst die Kategorie. Verteidiger kontern mit gehaerteten Sandboxes, die realistische Useraktivitaet vortauschen, mit randomisierten Hostnamen, laengeren Detonationsfenstern und Bare-Metal-Detonation.
● Beispiele
- 01
Ein Loader, der sich sauber beendet, wenn er vmware.exe in der Prozessliste findet oder die Hyper-V-CPUID 'Microsoft Hv' liest.
- 02
Ransomware, die 20 Minuten wartet, bevor sie etwas Boses tut, um kurze Sandbox-Laufe zu uberdauern.
● Häufige Fragen
Was ist Sandbox-/Emulator-Erkennung?
Anti-Analyse-Techniken in Malware, die erkennen, wenn der Host eine Analyse-Sandbox, ein Emulator oder eine VM ist, und sich dann nicht ausfuhrt, um der Erkennung zu entgehen. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Sandbox-/Emulator-Erkennung?
Anti-Analyse-Techniken in Malware, die erkennen, wenn der Host eine Analyse-Sandbox, ein Emulator oder eine VM ist, und sich dann nicht ausfuhrt, um der Erkennung zu entgehen.
Wie funktioniert Sandbox-/Emulator-Erkennung?
Sandbox-/Emulator-Erkennung ist eine Klasse von Defense-Evasion-Verhalten: Malware identifiziert automatisierte Analyseumgebungen — Cuckoo, Joe Sandbox, ANY.RUN, Hatching Triage, FireEye AX, kommerzielle VMware-Sandboxes — und bleibt dann passiv oder zeigt unverdaechtiges Verhalten. Ueblich sind Prufungen auf VirtualBox-/VMware-MAC-Bereiche, virtio-Treiber, Hyper-V-CPUID 'Microsoft Hv', sehr kleine Disk-/RAM-Groesse, wenige CPU-Kerne, nur ein Benutzerkonto, kaum 'recent files', beschleunigte Maus ohne Bewegung, Praesenz von Wireshark, x64dbg, OllyDbg sowie zeitliches Stallen. MITRE-ATT&CK T1497 (Virtualization/Sandbox Evasion) erfasst die Kategorie. Verteidiger kontern mit gehaerteten Sandboxes, die realistische Useraktivitaet vortauschen, mit randomisierten Hostnamen, laengeren Detonationsfenstern und Bare-Metal-Detonation.
Wie schützt man sich gegen Sandbox-/Emulator-Erkennung?
Schutzmaßnahmen gegen Sandbox-/Emulator-Erkennung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Sandbox-/Emulator-Erkennung?
Übliche alternative Bezeichnungen: Anti-VM, Anti-Sandbox, VM-aware Malware.
● Verwandte Begriffe
- defense-ops№ 298
Defense Evasion
MITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt.
- forensics-ir№ 650
Malware-Analyse
Strukturierte Untersuchung einer Schadsoftware-Probe, um Funktion, Herkunft, Indicators of Compromise und Auswirkungen auf betroffene Systeme zu verstehen.
- defense-ops№ 964
Sandbox-Escape
Schwachstelle oder Exploit-Kette, mit der Code aus einer isolierenden Sandbox — Browser, VM oder Hypervisor — ausbricht und Codeausfuhrung im umgebenden Host erlangt.
- forensics-ir№ 926
Reverse Engineering
Das Disassemblieren und Analysieren kompilierter Software, Firmware oder Hardware, um Aufbau, Verhalten und Innenleben zu rekonstruieren.
- malware№ 417
Dateilose Malware
Schadsoftware, die hauptsächlich im Arbeitsspeicher läuft und vertrauenswürdige Systemwerkzeuge nutzt, ohne klassische ausführbare Dateien auf der Festplatte.
- malware№ 840
Polymorphe Malware
Schadsoftware, die ihr Aussehen auf der Festplatte bei jeder Infektion verändert — meist durch erneute Verschlüsselung oder Packen — bei gleichbleibender Kernlogik.