Detecao de Sandbox / Emulador
O que é Detecao de Sandbox / Emulador?
Detecao de Sandbox / EmuladorTecnicas anti-analise no malware que reconhecem que o host e uma sandbox, emulador ou maquina virtual e, nesse caso, evitam detonar para escapar a analise.
A detecao de sandbox/emulador e uma classe de defense-evasion usada por malware para identificar ambientes de analise automatizada — Cuckoo, Joe Sandbox, ANY.RUN, Hatching Triage, FireEye AX, sandboxes comerciais em VMware — e ficar dormente ou mostrar comportamento benigno quando detectados. Verificacoes comuns: gamas MAC VirtualBox/VMware, drivers virtio, strings CPUID Hyper-V ('Microsoft Hv'), disco ou RAM pequenos, poucos cores, conta unica, poucos ficheiros recentes, rato acelerado sem movimento, presenca de Wireshark, x64dbg, OllyDbg, e atrasos temporais. A tecnica MITRE ATT&CK T1497 (Virtualization/Sandbox Evasion) cataloga estes comportamentos. Os defensores respondem com sandboxes endurecidos que simulam atividade real, hostnames aleatorios, janelas de detonacao longas e sistemas de detonacao bare-metal.
● Exemplos
- 01
Loader que termina limpamente se encontrar vmware.exe na lista de processos ou ler o CPUID Hyper-V 'Microsoft Hv'.
- 02
Ransomware que espera 20 minutos antes de qualquer acao, para ultrapassar a janela curta de um sandbox.
● Perguntas frequentes
O que é Detecao de Sandbox / Emulador?
Tecnicas anti-analise no malware que reconhecem que o host e uma sandbox, emulador ou maquina virtual e, nesse caso, evitam detonar para escapar a analise. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Detecao de Sandbox / Emulador?
Tecnicas anti-analise no malware que reconhecem que o host e uma sandbox, emulador ou maquina virtual e, nesse caso, evitam detonar para escapar a analise.
Como se defender contra Detecao de Sandbox / Emulador?
As defesas contra Detecao de Sandbox / Emulador costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Detecao de Sandbox / Emulador?
Nomes alternativos comuns: Anti-VM, Anti-sandbox, Malware VM-aware.