Детектирование песочницы / эмулятора
Что такое Детектирование песочницы / эмулятора?
Детектирование песочницы / эмулятораАнти-аналитические техники в ВПО, которые распознают, что хост — это аналитическая песочница, эмулятор или виртуальная машина, и отказываются исполнять полезную нагрузку, чтобы скрыться от обнаружения.
Детектирование песочницы/эмулятора — это класс защитного уклонения (defense evasion) у ВПО: программа распознаёт автоматизированные аналитические среды (Cuckoo, Joe Sandbox, ANY.RUN, Hatching Triage, FireEye AX, коммерческие VMware-песочницы) и в случае обнаружения остаётся пассивной или ведёт себя «безобидно». Типичные проверки — диапазоны MAC VirtualBox/VMware, драйверы virtio, строка CPUID Hyper-V 'Microsoft Hv', маленький диск или RAM, мало ядер CPU, единственная учётная запись, мало recent files, ускоренная мышь без движения, наличие Wireshark, x64dbg, OllyDbg, временные задержки. Техника MITRE ATT&CK T1497 (Virtualization/Sandbox Evasion) каталогизирует это. Защитники отвечают усиленными песочницами, имитирующими реальную активность, случайными hostname, увеличенными окнами детонации и bare-metal-стендами.
● Примеры
- 01
Лоадер тихо завершает работу, если находит vmware.exe в списке процессов или видит CPUID Hyper-V 'Microsoft Hv'.
- 02
Шифровальщик 20 минут ничего не делает, чтобы пережить короткое окно работы песочницы.
● Частые вопросы
Что такое Детектирование песочницы / эмулятора?
Анти-аналитические техники в ВПО, которые распознают, что хост — это аналитическая песочница, эмулятор или виртуальная машина, и отказываются исполнять полезную нагрузку, чтобы скрыться от обнаружения. Относится к категории Защита и операции в кибербезопасности.
Что означает Детектирование песочницы / эмулятора?
Анти-аналитические техники в ВПО, которые распознают, что хост — это аналитическая песочница, эмулятор или виртуальная машина, и отказываются исполнять полезную нагрузку, чтобы скрыться от обнаружения.
Как работает Детектирование песочницы / эмулятора?
Детектирование песочницы/эмулятора — это класс защитного уклонения (defense evasion) у ВПО: программа распознаёт автоматизированные аналитические среды (Cuckoo, Joe Sandbox, ANY.RUN, Hatching Triage, FireEye AX, коммерческие VMware-песочницы) и в случае обнаружения остаётся пассивной или ведёт себя «безобидно». Типичные проверки — диапазоны MAC VirtualBox/VMware, драйверы virtio, строка CPUID Hyper-V 'Microsoft Hv', маленький диск или RAM, мало ядер CPU, единственная учётная запись, мало recent files, ускоренная мышь без движения, наличие Wireshark, x64dbg, OllyDbg, временные задержки. Техника MITRE ATT&CK T1497 (Virtualization/Sandbox Evasion) каталогизирует это. Защитники отвечают усиленными песочницами, имитирующими реальную активность, случайными hostname, увеличенными окнами детонации и bare-metal-стендами.
Как защититься от Детектирование песочницы / эмулятора?
Защита от Детектирование песочницы / эмулятора обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Детектирование песочницы / эмулятора?
Распространённые альтернативные названия: Анти-VM, Анти-песочница, VM-aware вредонос.
● Связанные термины
- defense-ops№ 298
Обход защит (Defense Evasion)
Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность.
- forensics-ir№ 650
Анализ вредоносного ПО
Структурированное исследование вредоносного образца для понимания его функциональности, происхождения, индикаторов компрометации и воздействия на затронутые системы.
- defense-ops№ 964
Побег из песочницы (Sandbox Escape)
Уязвимость или цепочка эксплойтов, позволяющая коду выйти из изолирующей песочницы — браузера, ВМ или гипервизора — и получить исполнение в окружающей хост-среде.
- forensics-ir№ 926
Обратная разработка
Процесс дизассемблирования и анализа скомпилированного ПО, прошивок или аппаратного обеспечения с целью восстановления их устройства, поведения и внутренней работы.
- malware№ 417
Бесфайловое вредоносное ПО
Малварь, выполняющаяся преимущественно в памяти и использующая доверенные системные инструменты, без размещения традиционных исполняемых файлов на диске.
- malware№ 840
Полиморфная малварь
Вредоносное ПО, при каждом заражении меняющее внешний вид на диске (обычно через перешифрование или упаковку), но сохраняющее логику.