T1497.001
بررسی سیستم
System Checksتوضیحات
مهاجمان آثار مجازیسازی مانند registry keyهای VM، فایلهای VM، فرآیندهای VM و سختافزار VM را بررسی میکنند. در صورت شناسایی محیط مجازی، بدافزار ممکن است خود را غیرفعال کند یا رفتار خود را تغییر دهد.
روشهای شناسایی
نظارت بر بررسیهای registry مرتبط با VM. شناسایی بررسی سختافزار مجازی. استفاده از sandbox پیشرفته. تحلیل رفتار بدافزار.
روشهای مقابله
استفاده از sandbox با محیط واقعی. تحلیل استاتیک و دینامیک. پیادهسازی چندین لایه دفاعی. استفاده از threat intelligence. آموزش تیم تحلیل.
تکنیک اصلی
T1497Virtualization/Sandbox Evasion
فرار از مجازیسازی/Sandbox
مهاجمان محیطهای مجازیسازی و تحلیل را شناسایی میکنند تا از اجرا در sandbox جلوگیری کنند. بدافزار ممکن است آثار VM، ابزارهای نظارت امنیتی یا فعالیت کاربر را بررسی کند. در صورت شناسایی محیط تحلیل، بدافزار ممکن است خود را غیرفعال کند.
سایر زیرتکنیکها (1)