Deteccion de Sandbox / Emulador
¿Qué es Deteccion de Sandbox / Emulador?
Deteccion de Sandbox / EmuladorTecnicas anti-analisis del malware que reconocen cuando se ejecutan en sandbox, emulador o maquina virtual y se niegan a desplegar su payload para evadir el analisis.
La deteccion de sandbox y emulador es una familia de tecnicas de evasion del malware para identificar entornos de analisis automatizado — Cuckoo, Joe Sandbox, ANY.RUN, Hatching Triage, FireEye AX, sandboxes comerciales sobre VMware — y permanecer inactivo o mostrar conducta benigna cuando los detecta. Pruebas comunes: rangos MAC de VirtualBox/VMware, drivers virtio, cadenas CPUID de Hyper-V (Microsoft Hv), disco o RAM pequenos, pocos cores, una sola cuenta, archivos recientes, raton sin movimiento, presencia de Wireshark, x64dbg, OllyDbg, y retardos para superar la ventana del sandbox. MITRE ATT&CK T1497 (Virtualization/Sandbox Evasion) cataloga la familia. Los defensores responden con sandboxes endurecidos que simulan actividad real, hostnames aleatorios, ventanas de detonacion largas y sistemas de detonacion bare-metal.
● Ejemplos
- 01
Un loader que termina sin actuar si encuentra vmware.exe en la lista de procesos o detecta el CPUID Hyper-V 'Microsoft Hv'.
- 02
Ransomware que espera 20 minutos antes de cualquier accion para superar la ventana corta de un sandbox.
● Preguntas frecuentes
¿Qué es Deteccion de Sandbox / Emulador?
Tecnicas anti-analisis del malware que reconocen cuando se ejecutan en sandbox, emulador o maquina virtual y se niegan a desplegar su payload para evadir el analisis. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Deteccion de Sandbox / Emulador?
Tecnicas anti-analisis del malware que reconocen cuando se ejecutan en sandbox, emulador o maquina virtual y se niegan a desplegar su payload para evadir el analisis.
¿Cómo funciona Deteccion de Sandbox / Emulador?
La deteccion de sandbox y emulador es una familia de tecnicas de evasion del malware para identificar entornos de analisis automatizado — Cuckoo, Joe Sandbox, ANY.RUN, Hatching Triage, FireEye AX, sandboxes comerciales sobre VMware — y permanecer inactivo o mostrar conducta benigna cuando los detecta. Pruebas comunes: rangos MAC de VirtualBox/VMware, drivers virtio, cadenas CPUID de Hyper-V (Microsoft Hv), disco o RAM pequenos, pocos cores, una sola cuenta, archivos recientes, raton sin movimiento, presencia de Wireshark, x64dbg, OllyDbg, y retardos para superar la ventana del sandbox. MITRE ATT&CK T1497 (Virtualization/Sandbox Evasion) cataloga la familia. Los defensores responden con sandboxes endurecidos que simulan actividad real, hostnames aleatorios, ventanas de detonacion largas y sistemas de detonacion bare-metal.
¿Cómo defenderse de Deteccion de Sandbox / Emulador?
Las defensas contra Deteccion de Sandbox / Emulador combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Deteccion de Sandbox / Emulador?
Nombres alternativos comunes: Anti-VM, Anti-sandbox, Malware con conciencia de VM.
● Términos relacionados
- defense-ops№ 298
Evasión de Defensas
Táctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad.
- forensics-ir№ 650
Análisis de malware
Estudio estructurado de una muestra maliciosa para comprender su funcionamiento, origen, indicadores de compromiso e impacto sobre los sistemas afectados.
- defense-ops№ 964
Sandbox Escape
Vulnerabilidad o cadena de exploits que permite a un codigo escapar de un sandbox aislante — navegador, VM o hipervisor — para lograr ejecucion en el entorno anfitrion.
- forensics-ir№ 926
Ingeniería inversa
Proceso de desensamblar y analizar software compilado, firmware o hardware para recuperar su diseño, comportamiento y funcionamiento interno.
- malware№ 417
Malware sin archivos
Malware que se ejecuta principalmente en memoria y abusa de herramientas legítimas del sistema, evitando el uso de ejecutables tradicionales en disco.
- malware№ 840
Malware polimórfico
Malware que cambia su aspecto en disco —normalmente por re-cifrado o empaquetado— en cada infección, manteniendo intacta su lógica principal.