Матрица MITRE ATT&CK

Техника на mitre.org

T1497.001: Системные проверки

Злоумышленники могут использовать различные системные проверки для обнаружения и обхода средств виртуализации и анализа. Они могут менять поведение исходя из результатов поиска артефактов, свидетельствующих о работе в виртуальной машине или песочнице. В случае детектирования виртуализированной среды злоумышленники могут изменить вредоносное ПО, чтобы прекратить атаку или скрыть основные функции импланта. Они также могут искать артефакты виртуализированной среды перед загрузкой вспомогательных или дополнительных полезных нагрузок. Злоумышленники могут использовать информацию, полученную в результате обхода виртуализации или песочницы в ходе автоматического обнаружения, для определения дальнейшего поведения.

Конкретные проверки зависят от цели и (или) решения злоумышленника и могут включать такие техники, как Инструментарий управления Windows, PowerShell, Изучение системы и Запросы к реестру. Эти приемы используются для получения информации о системе и поиска артефактов виртуализированной среды. Злоумышленники могут искать такие артефакты в памяти, процессах, файловой системе, аппаратных ресурсах и реестре. Злоумышленники могут автоматизировать такие проверки, объединив их один сценарий, который будет завершать работу программы в случае детектирования виртуализированной среды.

Злоумышленники также могут проверять общие свойства системы, такие как имя хоста/домена и образцы сетевого трафика, а также адреса сетевых адаптеров, количество ядер ЦП, объем свободной памяти и размер диска. После запуска вредоносное ПО может также применить технику Изучение файлов и каталогов, чтобы проверить, было ли оно сохранено в папке или файле с нетипичным именем или даже именем, указывающим на работу аналитического процесса, например malware, sample или hash.

Другие распространенные проверки включают в себя поиск запущенных служб, характерных для виртуальных приложений; получение списка установленных в системе программ; поиск полей, содержащих данные о производителе или продукте и указывающих на то, что приложение запущено в виртуализированной среде; а также проверку наличия характерных для виртуализированных сред аппаратных и процессорных инструкций. В таких приложениях, как VMWare, злоумышленники также могут использовать специальный порт ввода-вывода для передачи команд и получения результатов их выполнения.

Злоумышленники также могут проверять конфигурацию и состояние аппаратного обеспечения (например, наличие вентилятора, аудиоустройств и датчика температуры процессора), чтобы определить, является ли среда виртуализированной, а также запрашивать данные с этих устройств.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для обнаружения и обхода средств виртуализации и анализа. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Техники обнаружения виртуализированных сред и песочниц, анализа пользовательской активности и другие способы изучения чаще всего применяются на начальном этапе компрометации, но могут встречаться и позднее по мере изучения окружения злоумышленником. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например перемещение внутри периметра, в зависимости от собранной ими информации. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу. Для обнаружения угроз полезно отслеживать создание подозрительных процессов, особенно запущенных за короткий период, которые собирают данные о системе или применяются в других техниках изучения.

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте вызовы API, которые могут содержать различные возможности для обнаружения и обхода средств виртуализации и анализа. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для обнаружения и обхода средств виртуализации и анализа. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу.
DS0009	Процесс: Создание процесса	Техники обнаружения виртуализированных сред и песочниц, анализа пользовательской активности и другие способы изучения чаще всего применяются на начальном этапе компрометации, но могут встречаться и позднее по мере изучения окружения злоумышленником. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например перемещение внутри периметра, в зависимости от собранной ими информации. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу. Для обнаружения угроз полезно отслеживать создание подозрительных процессов, особенно запущенных за короткий период, которые собирают данные о системе или применяются в других техниках изучения.
DS0009	Процесс: Вызовы API ОС	Отслеживайте вызовы API, которые могут содержать различные возможности для обнаружения и обхода средств виртуализации и анализа. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу.