T1497.003
فرار مبتنی بر زمان
Time Based Evasionتوضیحات
مهاجمان از تأخیرهای زمانی برای فرار از sandboxهای با محدودیت زمانی استفاده میکنند. این شامل sleepهای طولانی، حلقههای زمانی، API hammering و تشخیص شتابدهی زمان در sandbox میشود.
روشهای شناسایی
شناسایی sleepهای طولانی مدت. نظارت بر API hammering. استفاده از sandbox با تسریع زمان. تحلیل رفتار بدافزار در زمانهای مختلف.
روشهای مقابله
استفاده از sandbox با تسریع زمان. تحلیل استاتیک و دینامیک. پیادهسازی چندین لایه دفاعی. استفاده از threat intelligence. آموزش تیم تحلیل.
تکنیک اصلی
T1497Virtualization/Sandbox Evasion
فرار از مجازیسازی/Sandbox
مهاجمان محیطهای مجازیسازی و تحلیل را شناسایی میکنند تا از اجرا در sandbox جلوگیری کنند. بدافزار ممکن است آثار VM، ابزارهای نظارت امنیتی یا فعالیت کاربر را بررسی کند. در صورت شناسایی محیط تحلیل، بدافزار ممکن است خود را غیرفعال کند.
سایر زیرتکنیکها (1)