沙箱 / 模拟器检测
沙箱 / 模拟器检测 是什么?
沙箱 / 模拟器检测恶意软件用于识别自身是否运行在分析沙箱、模拟器或虚拟机中,从而拒绝触发,以规避分析的反分析技术。
沙箱/模拟器检测是一类防御规避(defense-evasion)行为,恶意软件借此识别 Cuckoo、Joe Sandbox、ANY.RUN、Hatching Triage、FireEye AX、基于 VMware 的商用沙箱等自动化分析环境,并在被检测到后保持休眠或显示良性行为。常见探测包括 VirtualBox/VMware 的 MAC 地址段、virtio 驱动、Hyper-V 的 CPUID 字符串"Microsoft Hv"、小磁盘或内存、低 CPU 核数、单用户、最近文件不足、加速无移动鼠标、是否存在 Wireshark、x64dbg、OllyDbg 等分析工具,以及基于时间的延迟。MITRE ATT&CK 技术 T1497(Virtualization/Sandbox Evasion)收录了该类别。防御方采用加固沙箱(模拟真实用户活动、随机主机名)、加长引爆窗口以及裸机分析系统应对。
● 示例
- 01
一个 loader 在进程列表里发现 vmware.exe 或检测到 Hyper-V CPUID "Microsoft Hv" 时干净退出。
- 02
勒索软件在执行任何恶意行为前等待 20 分钟,以超出沙箱短运行窗口。
● 常见问题
沙箱 / 模拟器检测 是什么?
恶意软件用于识别自身是否运行在分析沙箱、模拟器或虚拟机中,从而拒绝触发,以规避分析的反分析技术。 它属于网络安全的 防御与运营 分类。
沙箱 / 模拟器检测 是什么意思?
恶意软件用于识别自身是否运行在分析沙箱、模拟器或虚拟机中,从而拒绝触发,以规避分析的反分析技术。
沙箱 / 模拟器检测 是如何工作的?
沙箱/模拟器检测是一类防御规避(defense-evasion)行为,恶意软件借此识别 Cuckoo、Joe Sandbox、ANY.RUN、Hatching Triage、FireEye AX、基于 VMware 的商用沙箱等自动化分析环境,并在被检测到后保持休眠或显示良性行为。常见探测包括 VirtualBox/VMware 的 MAC 地址段、virtio 驱动、Hyper-V 的 CPUID 字符串"Microsoft Hv"、小磁盘或内存、低 CPU 核数、单用户、最近文件不足、加速无移动鼠标、是否存在 Wireshark、x64dbg、OllyDbg 等分析工具,以及基于时间的延迟。MITRE ATT&CK 技术 T1497(Virtualization/Sandbox Evasion)收录了该类别。防御方采用加固沙箱(模拟真实用户活动、随机主机名)、加长引爆窗口以及裸机分析系统应对。
如何防御 沙箱 / 模拟器检测?
针对 沙箱 / 模拟器检测 的防御通常结合技术控制与运营实践,详见上方完整定义。
沙箱 / 模拟器检测 还有哪些其他名称?
常见的别称包括: 反虚拟机, 反沙箱, VM 感知恶意软件。
● 相关术语
- defense-ops№ 298
防御规避
MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。
- forensics-ir№ 650
恶意软件分析
对恶意样本进行结构化研究,以了解其功能、来源、入侵指标以及对受影响系统的影响。
- defense-ops№ 964
沙箱逃逸
一种漏洞或漏洞利用链,使代码能从隔离的沙箱(浏览器、VM 或 hypervisor)中逃出,在宿主环境获得代码执行能力。
- forensics-ir№ 926
逆向工程
对编译后的软件、固件或硬件进行反汇编与分析,以还原其设计、行为和内部工作原理的过程。
- malware№ 417
无文件恶意软件
主要在内存中运行、利用受信任的系统工具,尽量避免在磁盘上留下传统可执行文件的恶意软件。
- malware№ 840
多态恶意软件
在每次感染时通过重新加密或加壳等手段改变磁盘上外观,但核心逻辑保持不变的恶意软件。