MaxPatrol EDR

Защищает конечные точки со всеми популярными ОС от сложных и целевых атак

T1497: Обход виртуализации или песочницы

Злоумышленники могут использовать различные способы обнаружения и обхода средств виртуализации и анализа. Они могут менять поведение исходя из результатов поиска артефактов, свидетельствующих о работе в виртуальной машине или песочнице. В случае детектирования виртуализированной среды злоумышленники могут изменить вредоносное ПО, чтобы прекратить атаку или скрыть основные функции импланта. Они также могут искать артефакты виртуализированной среды перед загрузкой вспомогательных или дополнительных полезных нагрузок. Злоумышленники могут использовать информацию, полученную в результате обхода виртуализации или песочницы в ходе автоматического обнаружения, для определения дальнейшего поведения.

Злоумышленники могут использовать несколько методов обхода виртуализации или песочницы, например проверять наличие инструментов мониторинга безопасности (таких как Sysinternals, Wireshark и т. д.) или других системных артефактов, указывающих на аналитические и виртуализированные среды. Отслеживание легитимной пользовательской активности также позволяет детектировать аналитические среды. В числе других методов — добавление команд задержки выполнения (sleep) или циклов в код вредоносного ПО для обхода временных песочниц.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Техники обнаружения виртуализированных сред и песочниц, анализа пользовательской активности и другие способы изучения чаще всего применяются на начальном этапе компрометации, но могут встречаться и позднее по мере изучения окружения злоумышленником. Рекомендуется рассматривать события и данные не обособленно, а как связанные элементы цепочки, которые могут привести к другой вредоносной активности в зависимости от собранной информации, например, перемещению внутри периметра. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу. Для обнаружения угроз полезно отслеживать создание подозрительных процессов, особенно запущенных за короткий период, которые собирают данные о системе или применяются в других техниках изучения.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, которые могут содержать различные возможности для обнаружения и обхода средств виртуализации и анализа. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для обнаружения и обхода средств виртуализации и анализа. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу.