標題:Locky 勒索病毒等惡意程式,如何反制傳統的沙盒模擬分析?
摘要:
最近較新的 勒索病毒家族 也開始積極利用某些技巧來判斷自己是否在虛擬機器 (VM) 或沙盒模擬環境當中執行。例如 Locky 的變種就會利用層層編碼的惡意 JavaScript 來下載並執行壓縮的 DLL 檔案,內含偵測虛擬機器和執行環境的程式碼。
Shamoon/Disttrack (WORM_DISTTRACK 家族) 最早發現於 2012 年,它會將系統主開機磁區 (MBR) 清除,讓受害機構網域下的電腦和伺服器無法開機。當它在 2016 年 12 月重出江湖時,開始多了一個反制沙盒模擬分析環境的技巧,感染當下不會出現惡意行為,而是設定了一個定時炸彈在特定日期和時間觸發,此時才會在系統上植入惡意元件。
由於躲避沙盒模擬分析的技巧在惡意程式之間日漸流行,因此很重要的一點是,沙盒環境必須要能客製化,才能盡可能精確反映真實生產環境的系統組態 (包含軟體在內)。
市面上許多沙盒解決方案通常只檢查系統 API (應用程式介面),而這只需採用無檔案式攻擊就能避開 (例如使用腳本和系統工具)。要防範這類攻擊,需要更全面的系統監控,不能只檢查系統 API,還要檢查是否有惡意通訊。
傳統的沙盒模擬分析大多仰賴動態程序分析 (在模擬環境中執行惡意程式檔案來查看其行為)。但像 CrypMIC (RANSOM_CRYPMIC) 和 Cerber (RANSOM_CERBER) 這類勒索病毒卻會偵測系統的 CPU 型號 來判斷自己是否正在沙盒模擬環境當中執行。
引用來源:
https://blog.trendmicro.com.tw/?p=49025