«Обход виртуализации и песочниц» (T1497) - это техника MITRE ATT&CK, используемая злоумышленниками для обнаружения и обхода виртуализированных сред или сред-песочниц, которые команды безопасности часто развертывают для анализа вредоносного ПО и обнаружения угроз. Заблаговременно выявляя эти контролируемые среды, атакующие могут подавлять или задерживать вредоносное поведение, позволяя атакам прогрессировать без срабатывания средств защиты.
Использование T1497 злоумышленниками
Использование техники T1497 злоумышленниками описывает, как субъекты угроз применяют этот метод для обнаружения, избегания и реагирования на присутствие виртуализированных сред анализа, используемых защитниками (таких как песочницы и виртуальные машины), чтобы их вредоносное ПО могло уклониться от обнаружения и анализа.
На практике злоумышленники реализуют обход виртуализации и песочниц следующим образом:
- Зондирование среды на предмет индикаторов виртуализации или автоматизированного анализа, таких как артефакты виртуальных машин в оборудовании, записи реестра, имена процессов или конфигурации системы.
- Изменение поведения вредоносного ПО при обнаружении таких индикаторов. Например, остановка выполнения, подавление вредоносных действий или задержка доставки полезной нагрузки, чтобы автоматизированные инструменты не наблюдали опасного поведения.
- Корректировка последующих действий на основе результатов обнаружения. Вредоносное ПО может избежать сброса вторичных полезных нагрузок или дальнейшего перемещения, если обнаружена песочница.
Поскольку песочницы и виртуальные машины широко используются аналитиками вредоносного ПО и автоматизированными системами защиты для безопасного наблюдения за подозрительным кодом, обнаружение этих сред позволяет атакующим уклоняться от обнаружения, задерживать анализ и защищать свои инструменты от профилирования или блокировки защитными технологиями.
Таким образом, злоумышленники используют технику T1497 для определения момента, когда за ними наблюдают, и адаптируют свое поведение, чтобы не раскрывать вредоносную активность, что усложняет анализ и обнаружение вредоносных программ.
Подтехники T1497: Обход виртуализации и песочниц
Техника «Обход виртуализации и песочниц» в версии MITRE ATT&CK v18 состоит из трех подтехник.
Этот материал служит центральной страницей для техники T1497. Каждая связанная страница подтехники объясняет, как работает техника, подробно описывает поведение злоумышленников и включает примеры реальных процедур, наблюдавшихся в дикой природе и задокументированных в Red Report.
- T1497.001: Системные проверки (System Checks)
- T1497.002: Проверки на основе активности пользователя (User Activity Based Checks)
- T1497.003: Анализ временных характеристик (Time Based Checks)
