Detecao de Sandbox / Emulador
O que é Detecao de Sandbox / Emulador?
Detecao de Sandbox / EmuladorTecnicas anti-analise no malware que reconhecem que o host e uma sandbox, emulador ou maquina virtual e, nesse caso, evitam detonar para escapar a analise.
A detecao de sandbox/emulador e uma classe de defense-evasion usada por malware para identificar ambientes de analise automatizada — Cuckoo, Joe Sandbox, ANY.RUN, Hatching Triage, FireEye AX, sandboxes comerciais em VMware — e ficar dormente ou mostrar comportamento benigno quando detectados. Verificacoes comuns: gamas MAC VirtualBox/VMware, drivers virtio, strings CPUID Hyper-V ('Microsoft Hv'), disco ou RAM pequenos, poucos cores, conta unica, poucos ficheiros recentes, rato acelerado sem movimento, presenca de Wireshark, x64dbg, OllyDbg, e atrasos temporais. A tecnica MITRE ATT&CK T1497 (Virtualization/Sandbox Evasion) cataloga estes comportamentos. Os defensores respondem com sandboxes endurecidos que simulam atividade real, hostnames aleatorios, janelas de detonacao longas e sistemas de detonacao bare-metal.
● Exemplos
- 01
Loader que termina limpamente se encontrar vmware.exe na lista de processos ou ler o CPUID Hyper-V 'Microsoft Hv'.
- 02
Ransomware que espera 20 minutos antes de qualquer acao, para ultrapassar a janela curta de um sandbox.
● Perguntas frequentes
O que é Detecao de Sandbox / Emulador?
Tecnicas anti-analise no malware que reconhecem que o host e uma sandbox, emulador ou maquina virtual e, nesse caso, evitam detonar para escapar a analise. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Detecao de Sandbox / Emulador?
Tecnicas anti-analise no malware que reconhecem que o host e uma sandbox, emulador ou maquina virtual e, nesse caso, evitam detonar para escapar a analise.
Como funciona Detecao de Sandbox / Emulador?
A detecao de sandbox/emulador e uma classe de defense-evasion usada por malware para identificar ambientes de analise automatizada — Cuckoo, Joe Sandbox, ANY.RUN, Hatching Triage, FireEye AX, sandboxes comerciais em VMware — e ficar dormente ou mostrar comportamento benigno quando detectados. Verificacoes comuns: gamas MAC VirtualBox/VMware, drivers virtio, strings CPUID Hyper-V ('Microsoft Hv'), disco ou RAM pequenos, poucos cores, conta unica, poucos ficheiros recentes, rato acelerado sem movimento, presenca de Wireshark, x64dbg, OllyDbg, e atrasos temporais. A tecnica MITRE ATT&CK T1497 (Virtualization/Sandbox Evasion) cataloga estes comportamentos. Os defensores respondem com sandboxes endurecidos que simulam atividade real, hostnames aleatorios, janelas de detonacao longas e sistemas de detonacao bare-metal.
Como se defender contra Detecao de Sandbox / Emulador?
As defesas contra Detecao de Sandbox / Emulador costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Detecao de Sandbox / Emulador?
Nomes alternativos comuns: Anti-VM, Anti-sandbox, Malware VM-aware.
● Termos relacionados
- defense-ops№ 298
Evasão de Defesas
Tática MITRE ATT&CK (TA0005) que reúne técnicas usadas para evitar deteção, desativar ferramentas de segurança e ocultar a atividade do atacante no sistema alvo.
- forensics-ir№ 650
Análise de malware
Estudo estruturado de uma amostra maliciosa para compreender o seu funcionamento, origem, indicadores de comprometimento e impacto nos sistemas afetados.
- defense-ops№ 964
Sandbox Escape
Vulnerabilidade ou cadeia de exploits que permite a um codigo escapar de um sandbox isolador — browser, VM ou hypervisor — e obter execucao no host envolvente.
- forensics-ir№ 926
Engenharia inversa
Processo de desmontar e analisar software compilado, firmware ou hardware para reconstruir o seu desenho, comportamento e funcionamento interno.
- malware№ 417
Malware sem ficheiro
Malware que corre essencialmente em memória e tira partido de ferramentas legítimas do sistema, evitando executáveis tradicionais em disco.
- malware№ 840
Malware polimórfico
Malware que altera o seu aspeto em disco — habitualmente por recifragem ou empacotamento — em cada infeção, mantendo a lógica principal inalterada.