罕见沙箱绕过手艺 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

罕见沙箱绕过手艺

申博_新闻事件 申博 48次浏览 已收录 0个评论

菲律宾申博

菲律宾申博自与农展馆合作以来,拓展了业务战线,深化了服务体系,整合了群体,在未来的2019年,将能更好地为菲律宾申博网的会员提供更优质的服务。

,

罕见沙箱绕过手艺

罕见沙箱绕过手艺

耽误实行

有许多歹意软件都运用基于时刻的绕过手艺,主如果应用已知的Windows API来耽误歹意代码的实行,经常使用的API有NtDelayExecution, CreateWaitTableTImer, SetTimer。这些手艺在沙箱辨认出来之前异常盛行。

GetTickCount

沙箱能够辨认出歹意软件并经由过程加快代码实行的体式格局来举行应对,能够运用多种要领来举行加快搜检。个中一种要领就是运用Windows API GetTickCount和一行搜检运用时刻的代码。研究人员发明多种歹意软件家属运用的要领的变种:

罕见沙箱绕过手艺

沙箱厂商能够经由过程建立凌驾20分钟的简介使机械屡次运转来随意马虎绕过反逃逸手艺。

API洪泛

另一种越发盛行的要领是在循环中挪用垃圾API来引入耽误,即所谓的API flooding。下面是歹意软件中运用该要领的代码:

罕见沙箱绕过手艺

Inline Code

由于沙箱没法很好地处置惩罚行内代码,因而会发生DOS前提。另一方面,许多沙箱没法检测此类行动。

罕见沙箱绕过手艺

如今的沙箱才能越发多样化,并有代码插进去和全模仿的才能,能够辨认和报告停息代码(stalling code)。因而,有了一个能够绕过大多数高等沙箱的要领。

下面是歹意软件在过去留念运用的基于时刻的绕过手艺增进图:

罕见沙箱绕过手艺

硬件检测

歹意软件普遍运用的另一类绕过手艺就是对硬件举行指纹操纵,尤其是对物理内存的大小、可用HD大小/范例和可用CPU核数举行搜检。

这些要领在Win32/Phorpiex, Win32/Comrerop, Win32/Simda和相干的歹意软件家属中异常盛行。研究人员对这些变种举行追踪剖析发明,Windows API DeviceIoControl()和一些掌握代码被用来提取存储范例和大小的信息。

讹诈软件和加密钱银挖矿歹意软件也用GlobalMemoryStatusEx ()要领来搜检可用的物理内存。相似的搜检以下所示:

内存大小搜检:

罕见沙箱绕过手艺

下面的沙箱中完成的API阻拦代码示例,能够对返回的存储大小举行操纵:

罕见沙箱绕过手艺

由于现有的挪用没法在已有的沙箱中阻拦,因而基于Windows Management Instrumentation (WMI)的要领就异常盛行。

罕见沙箱绕过手艺

罕见沙箱绕过手艺

罕见沙箱绕过手艺

下面是歹意软件家属搜检存储范例和大小的途径图:

罕见沙箱绕过手艺

区块链火了Sality病毒,感染3万电脑伺机盗取比特币

一、背景 腾讯安全御见威胁情报中心检测到Sality感染型病毒活跃,该病毒同时传播“剪切板大盗”木马盗取数字加密货币。在国家大力发展区块链相关产业的大背景下,各种数字加密币的交易空前活跃,以比特币为首的各种数字加密币趁势爆涨。Sality病毒利用自己建立的P2P网络,传播以盗取、劫持虚拟币交易为目的的剪切板大盗木马,将会对虚拟币交易安全构成严重威胁。 Sality病毒最

CPU搜检

温度搜检

歹意软件作者还在不停地增加新的要领来绕过沙箱体系。另一个搜检就是搜检实行的处置惩罚器的温度。
示例代码以下:

罕见沙箱绕过手艺

搜检是经由过程体系中的WMI挪用完成的。该挪用后,假造机体系是永久不会返回效果的,因而能够很容易地肯定是都在沙箱中运转。

CPU数

Win32/Dyreza如许主流的歹意软件都运用CPU数作为绕过的要领。许多歹意软件家属最初都运用简朴的基于API的要领。以后,大多数歹意软件最先运用WMI和基于PEB接见的要领。

歹意软件中的绕过代码不依赖于API来辨认沙箱环境,歹意软件作者也最先更频仍地运用该要领。下面是相似的搜检示例:

罕见沙箱绕过手艺

现实上有许多要领能够猎取CPU核心数,接见PEB的体式格局虽然比较寂静,然则能够经由过程内联顺序集代码或运用固有函数的体式格局来完成。

罕见沙箱绕过手艺

罕见沙箱绕过手艺

猎取CPU核心数的歹意软件绕过沙箱要领生长图以下:

罕见沙箱绕过手艺

用户交互

另一种歹意软件普遍运用的绕过沙箱的要领就是应用“自动剖析体系(沙箱)没法与人类交互”。平常的沙箱都不会模仿用户行动,歹意软件能够到场自动剖析体系和其他实在体系的差异的代码来完成。现实上有多款歹意软件已经由过程监控windows事宜和住手实行来辨认沙箱。

下图是运用GetForeGroundWindow来肯定挪用雷同的API是不是会修正Windows handle的Win32/Gataka变种。相似手艺也出如今 Lockiny讹诈软件变种中。

罕见沙箱绕过手艺

下面是另一个Win32/Sazoora 歹意软件的截图,经由过程搜检鼠标的挪动来辨认沙箱,也有许多歹意软件经由过程这类要领来辨认沙箱。

罕见沙箱绕过手艺

歹意软件还会布置大批的手艺来搜检与受感染体系的汗青交互信息。比方,Dridex歹意软件就运用Auto Execution宏,该宏只要在文件封闭时才触发。下面是VB代码的示例:

罕见沙箱绕过手艺

另有歹意软件进击运动在MRU文件中引入注册表键值搜检来考证有受感染机械的汗青交互。该要领中的考证也做了相似的搜检。
运用注册表key来搜检MRU:\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\User MRU

罕见沙箱绕过手艺

以上搜检的代码版本:

罕见沙箱绕过手艺

罕见沙箱绕过手艺

环境搜检

歹意软件还会对目的环境举行指纹处置惩罚,如许就能够应用沙箱的毛病设置。最先的时刻,运用Red Pill 手艺就能够检测假造环境,直到沙箱最先加固架构。歹意软件作者最先运用新的手艺,比方搜检主机名或注册表来考证装置的顺序。

Locky和Dridex歹意软件运用检测收集的要领:

罕见沙箱绕过手艺

罕见沙箱绕过手艺

结论

传统沙箱经由过程运转假造化解决方案来构建沙箱环境,比方VMware, VirtualBox, KVM, Xen。这给了歹意软件许多的破绽来绕过沙箱。歹意软件作者不停到场新的手艺和要领来绕过传统的平安解决方案以更好地检测沙箱。

本文翻译自:https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/evolution-of-malware-sandbox-evasion-tactics-a-retrospective-study/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明罕见沙箱绕过手艺
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址