Sandbox Evasion

Um ambiente “real” é muito diferente de um ambiente sandbox. Um usuário comum provavelmente terá instalado aplicativos comuns, como o Microsoft Office, navegadores e etc... É provável que não esteja usando uma VM, o Wireshark ou o Procmon, nem que tenha instalado ferramentas de análise de malware como o IDA Pro. Um ambiente de sandbox, por outro lado, normalmente tem um software de análise instalado em uma VM.

Essas informações podem ser obtidas por referências ao hipervisor nos nomes e nas propriedades de vários artefatos do sistema operacional, como os processos em execução no momento, as chaves de registro configuradas e os dispositivos e drivers instalados. O malware pode extrair essas informações para entender seu ambiente, escolher seu alvo e decidir se deve ou não executar seu payload no host.

Vamos analisar algumas técnicas de enumeração de vários artefatos do sistema operacional e ver como o malware pode usar as informações coletadas para identificar um ambiente de análise ou um alvo inadequado.

Referências

• CUCCI, Kyle. Evasive Malware: A Field Guide to Detecting, Analyzing, and Defeating Advanced Threats. San Francisco: No Starch Press, 2024.