很明显,只有当被观察文件在其被分析的过程中真正执行其恶意行为时,基于行为的恶意软件检测技术才会有效果。如果在分析过程中目标没有执行恶意行为,那么沙盒则会认为这个文件是友好的。恶意软件的开发者会不断地寻求更加新颖的方法来隐藏恶意软件的真实行为,并以此来躲避沙盒检测。我们在这里将这些方法分成了以下三大类:
1.沙盒检测:检测沙盒的存在(在检测过程中只显露出友好行为);
2.利用沙盒漏洞:利用沙盒技术或目标环境中存在的安全缺陷;
3.基于环境感知(Context-Aware)的恶意软件:对时间/事件/环境进行判断,并且在沙盒分析过程中不会暴露恶意行为;
沙盒检测
首先,第一种检测沙盒存在的方法就是区分出沙盒环境与真实目标系统之间的细微差别。如果检测到了沙盒,恶意软件的应对方法通常有以下两种:立即终止恶意行为;只显示友好的行为,而不执行恶意操作。我们在此给出了一个例子【详细内容轻点我】,这个样本具有以下两种特性:
1.尝试通过检测来判断当前运行环境是否为虚拟机(VM);
2.检测当前环境是否有沙盒应用正在运行(例如Sandboxie)
基于环境感知(Context-Aware)的恶意软件
恶意软件所使用的第三类方法其实根本都不会去尝试检测或攻击沙盒,它利用的是这种自动化系统天生的固有缺陷。因为大多数安全检测环境和沙盒分析系统在分析某些特殊的恶意软件时并不会花多少时间,因此这种恶意软件只需要延迟恶意Payload的执行时间就能够有效地躲避沙盒检测。除了这种基于时间的触发条件意外,恶意软件还可以使用一些通常不会在沙盒环境中发生的事件,例如系统重启和用户交互等等。需要注意的是,有些恶意软件还会搜索目标设备中的某些特殊工具,例如某个应用程序和本地化设置等等,对这部分内容感兴趣的同学可以参考这篇文章【传送门】。
在这个样本的分析结果【传送门】中我们可以看到,除了尝试检测虚拟机环境以外,这个恶意软件样本还会通过安装启动脚本和应用程序来实现持久化感染:
总结
本系列文章共3个部分,在本系列文章的第二部分中,我们会对这三类沙盒逃逸技术一一进行深入地分析和讲解,并且通过对样本进行分析来让大家更加清除地理解当前恶意软件所使用的沙盒逃逸技术。感兴趣的同学请及时关注安全客的最新资讯,敬请期待!
参考资料
相关资源:淘金币抵钱怎么用|淘金币自动领取工具v1.3绿色版.zip_淘金币自动…
来源:weixin_40004051
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!