Detection de sandbox / emulateur.

Techniques anti-analyse des malwares qui reconnaissent quand ils s'executent dans un sandbox, un emulateur ou une VM et refusent alors de detoner pour echapper a l'analyse. Cette notion relève de la catégorie Défense et opérations en cybersécurité.

Techniques anti-analyse des malwares qui reconnaissent quand ils s'executent dans un sandbox, un emulateur ou une VM et refusent alors de detoner pour echapper a l'analyse.

La detection de sandbox/emulateur est une classe de techniques de defense-evasion utilisee par les malwares pour identifier des environnements d'analyse automatises — Cuckoo, Joe Sandbox, ANY.RUN, Hatching Triage, FireEye AX, sandboxes commerciales basees sur VMware — et rester dormants ou afficher un comportement anodin lorsqu'ils sont detectes. Les controles courants : plages MAC VirtualBox/VMware, drivers virtio, chaines CPUID Hyper-V ('Microsoft Hv'), disque ou RAM trop petits, peu de coeurs CPU, compte unique, peu de fichiers recents, souris sans mouvement, presence d'outils analystes (Wireshark, x64dbg, OllyDbg) et temporisation. La technique MITRE ATT&CK T1497 (Virtualization/Sandbox Evasion) catalogue ces comportements. Les defenseurs ripostent avec des sandboxes durcis simulant une activite reelle, des hostnames randomises, des fenetres de detonation plus longues et des detonations bare-metal.

Les défenses contre Detection de sandbox / emulateur combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Anti-VM, Anti-sandbox, Malware VM-aware.