【図表】
出典: https://scan.netsecurity.ne.jp/article/img/2020/04/30/44055/29787.html
【概要】
■サンドボックス
- 3種類に分類可能
サンドボックスのタイプ | 備考 |
---|---|
ハイパーバイザータイプ | ハイパーバイザーが管理する仮想マシンを構築し、その中で検体を実行させる |
エミュレーションタイプ | API や CPU、その I / O、メモリ管理をエミュレートするものなどがある |
ベアメタルタイプ | クラウド上に実マシンの環境を用意して検体の検査を行う |
■回避技術
◇環境の検出(仮想マシン環境と分析環境を検出)
- 仮想環境の検出
- XEN、VMware、Virtual Box、QEMU、Parallels といった流通している仮想化システム固有のファイル、レジストリ、サービス、プロセス、MAC アドレスの存在を調査
ファイル | ベンダーごとの dll |
レジストリ | 製品インストールで生成される固有のレジストリ名、エントリー、さらにそのパラメータ |
プロセス | 実行中のプロセスに仮想化システムの exe ファイルやサービス名 |
MAC アドレス | ベンダーコードで判別 |
CPU命令 | CPUID 命令、割り込みベクターの保存命令( SIDT )、特定ポートからの IN 命令、MMX 命令によるストリーム処理、プロセス切り替えのタイムスタンプの読み取り( RDTSC 命令) |
参考: ベンダーコード
VMWare ESX3 | 00:50:56 |
VirtualBox | 08:00:27 |
Hyper-V | 00:03:ff |
参考: CPU 命令で仮想化環境を検知していたマルウェア
- Cerber
- Pushbot
- Phorpiex
- Rebhip
◇ ハードウェアの検出
-
- シングルコアのチェック
- ハードディスクやメモリのサイズ
- ファンの操作(サンドボックスはこれらの問い合わせには値を返さない)
- CPU 温度(サンドボックスはこれらの問い合わせには値を返さない)
参考: コア数のチェック
- API 利用
- レジストリのチェック
- PEB( Process Environment Block )の利用
参考: WMI( Windows Management Instrumentation )による検知項目
- デバイス ID
- MAC アドレス
- コア数やプロセッサー ID
- ディスクサイズ
- 冷却ファンの状態
- CPU 温度
◇ オペレーションの検出
- マウスクリックの検出
- キーボード入力
参考: 検知方法(トラッキング内容)
- キーボードが操作された値なのか
- カーソルが実際に動いたかどうか
- アクティブウィンドウがどれか
◇Word ファイルの自動クローズ機能
- 文書が閉じられてから、攻撃コードを起動するマルウェア
- 文書ファイルを最後までスクロールさせると起動するマルウェア
参考: Word ファイルの自動クローズ機能を利用するマルウェア
- Ursnif
- Locky Ransomware
- Banechant APT
- UPClicker
◇遅延実行
- スリープ機能を使って、攻撃コードの起動を遅らせる
- 5分以上遅延させて起動
参考: 遅延実行の手法
- スリープ機能
- システム関数( NtDelay )
- オブジェクト待機によるタイムアウト
- 日付や時間の指定(ハードコード)
■回避技術の発見方法
- マルウェアの問い合わせや探索に対し、偽の情報を返す
- 問い合わせをそのものをマルウェアや攻撃とみなして検出精度を上げる
- ユーザーと同様な反応を行う
- 静的検知手法との組み合わせ
■回避技術の回避方法
- ベアメタル検査
■発表者
- Venkatachalabathy S.R.(McAfee)
- Harikrishanan M.(McAfee)
【ニュース】
◆マルウェアがサンドボックスを回避する4つの手法とその詳細 (NetSecurity, 2020/04/30 08:10)
高度なマルウェアの検知にサンドボックスが有効とされる。しかし、攻撃者はさらにサンドボックス対策を施したマルウェアを開発している。最新のマルウェアはどんな手法でサンドボックスを回避しているのだろうか
https://scan.netsecurity.ne.jp/article/2020/04/30/44055.html
【記事の著者】
- 中尾 真二
【関連まとめ記事】
◆全体まとめ
◆マルウェア / Malware (まとめ)
◆バンキングマルウェア (まとめ)
◆Upclicker (まとめ)
https://malware-log.hatenablog.com/entry/Upclicker
◆Phorpiex (まとめ)
https://malware-log.hatenablog.com/entry/Phorpiex