Sandbox-/Emulator-Erkennung
Was ist Sandbox-/Emulator-Erkennung?
Sandbox-/Emulator-ErkennungAnti-Analyse-Techniken in Malware, die erkennen, wenn der Host eine Analyse-Sandbox, ein Emulator oder eine VM ist, und sich dann nicht ausfuhrt, um der Erkennung zu entgehen.
Sandbox-/Emulator-Erkennung ist eine Klasse von Defense-Evasion-Verhalten: Malware identifiziert automatisierte Analyseumgebungen — Cuckoo, Joe Sandbox, ANY.RUN, Hatching Triage, FireEye AX, kommerzielle VMware-Sandboxes — und bleibt dann passiv oder zeigt unverdaechtiges Verhalten. Ueblich sind Prufungen auf VirtualBox-/VMware-MAC-Bereiche, virtio-Treiber, Hyper-V-CPUID 'Microsoft Hv', sehr kleine Disk-/RAM-Groesse, wenige CPU-Kerne, nur ein Benutzerkonto, kaum 'recent files', beschleunigte Maus ohne Bewegung, Praesenz von Wireshark, x64dbg, OllyDbg sowie zeitliches Stallen. MITRE-ATT&CK T1497 (Virtualization/Sandbox Evasion) erfasst die Kategorie. Verteidiger kontern mit gehaerteten Sandboxes, die realistische Useraktivitaet vortauschen, mit randomisierten Hostnamen, laengeren Detonationsfenstern und Bare-Metal-Detonation.
● Beispiele
- 01
Ein Loader, der sich sauber beendet, wenn er vmware.exe in der Prozessliste findet oder die Hyper-V-CPUID 'Microsoft Hv' liest.
- 02
Ransomware, die 20 Minuten wartet, bevor sie etwas Boses tut, um kurze Sandbox-Laufe zu uberdauern.
● Häufige Fragen
Was ist Sandbox-/Emulator-Erkennung?
Anti-Analyse-Techniken in Malware, die erkennen, wenn der Host eine Analyse-Sandbox, ein Emulator oder eine VM ist, und sich dann nicht ausfuhrt, um der Erkennung zu entgehen. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Sandbox-/Emulator-Erkennung?
Anti-Analyse-Techniken in Malware, die erkennen, wenn der Host eine Analyse-Sandbox, ein Emulator oder eine VM ist, und sich dann nicht ausfuhrt, um der Erkennung zu entgehen.
Wie schützt man sich gegen Sandbox-/Emulator-Erkennung?
Schutzmaßnahmen gegen Sandbox-/Emulator-Erkennung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Sandbox-/Emulator-Erkennung?
Übliche alternative Bezeichnungen: Anti-VM, Anti-Sandbox, VM-aware Malware.