Deteccion de Sandbox / Emulador
¿Qué es Deteccion de Sandbox / Emulador?
Deteccion de Sandbox / EmuladorTecnicas anti-analisis del malware que reconocen cuando se ejecutan en sandbox, emulador o maquina virtual y se niegan a desplegar su payload para evadir el analisis.
La deteccion de sandbox y emulador es una familia de tecnicas de evasion del malware para identificar entornos de analisis automatizado — Cuckoo, Joe Sandbox, ANY.RUN, Hatching Triage, FireEye AX, sandboxes comerciales sobre VMware — y permanecer inactivo o mostrar conducta benigna cuando los detecta. Pruebas comunes: rangos MAC de VirtualBox/VMware, drivers virtio, cadenas CPUID de Hyper-V (Microsoft Hv), disco o RAM pequenos, pocos cores, una sola cuenta, archivos recientes, raton sin movimiento, presencia de Wireshark, x64dbg, OllyDbg, y retardos para superar la ventana del sandbox. MITRE ATT&CK T1497 (Virtualization/Sandbox Evasion) cataloga la familia. Los defensores responden con sandboxes endurecidos que simulan actividad real, hostnames aleatorios, ventanas de detonacion largas y sistemas de detonacion bare-metal.
● Ejemplos
- 01
Un loader que termina sin actuar si encuentra vmware.exe en la lista de procesos o detecta el CPUID Hyper-V 'Microsoft Hv'.
- 02
Ransomware que espera 20 minutos antes de cualquier accion para superar la ventana corta de un sandbox.
● Preguntas frecuentes
¿Qué es Deteccion de Sandbox / Emulador?
Tecnicas anti-analisis del malware que reconocen cuando se ejecutan en sandbox, emulador o maquina virtual y se niegan a desplegar su payload para evadir el analisis. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Deteccion de Sandbox / Emulador?
Tecnicas anti-analisis del malware que reconocen cuando se ejecutan en sandbox, emulador o maquina virtual y se niegan a desplegar su payload para evadir el analisis.
¿Cómo defenderse de Deteccion de Sandbox / Emulador?
Las defensas contra Deteccion de Sandbox / Emulador combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Deteccion de Sandbox / Emulador?
Nombres alternativos comunes: Anti-VM, Anti-sandbox, Malware con conciencia de VM.