فرار از مجازیسازی/Sandbox
Virtualization/Sandbox Evasionتوضیحات
مهاجمان محیطهای مجازیسازی و تحلیل را شناسایی میکنند تا از اجرا در sandbox جلوگیری کنند. بدافزار ممکن است آثار VM، ابزارهای نظارت امنیتی یا فعالیت کاربر را بررسی کند. در صورت شناسایی محیط تحلیل، بدافزار ممکن است خود را غیرفعال کند.
زیرتکنیکها (2)
مهاجمان آثار مجازیسازی مانند registry keyهای VM، فایلهای VM، فرآیندهای VM و سختافزار VM را بررسی میکنند. در صورت شناسایی محیط مجازی، بدافزار ممکن است خود را غیرفعال کند یا رفتار خود را تغییر دهد.
مهاجمان از تأخیرهای زمانی برای فرار از sandboxهای با محدودیت زمانی استفاده میکنند. این شامل sleepهای طولانی، حلقههای زمانی، API hammering و تشخیص شتابدهی زمان در sandbox میشود.
روشهای شناسایی
نظارت بر بررسیهای VM artifact. شناسایی sleepهای طولانی مدت. بررسی بررسیهای محیطی مشکوک. استفاده از sandbox پیشرفته.
روشهای مقابله
استفاده از sandbox پیشرفته با محیط واقعی. تحلیل رفتار در زمانهای مختلف. پیادهسازی چندین لایه دفاعی. استفاده از threat intelligence. آموزش تیم SOC.