Техники: T1497 , T1497.001 , T1497.002 , T1497.003
Злоумышленники могут использовать различные средства для обнаружения и обхода сред виртуализации и анализа. Это может включать изменение поведения в зависимости от результатов проверки на наличие артефактов, указывающих на наличие среды виртуальной машины (VME) или песочницы. Если Злоумышленник обнаруживает VME, он может изменить свое вредоносное ПО, чтобы отсоединиться от жертвы или скрыть основные функции имплантата. Они также могут искать артефакты VME перед тем, как сбросить вторую или дополнительную полезную нагрузку.Злоумышленники могут использовать информацию, полученную в ходе автоматического обнаружения Virtualization/Sandbox Evasion, для формирования последующего поведения.(Цит. по: Deloitte Environment Awareness)
Злоумышленники могут использовать несколько методов для выполнения Virtualization/Sandbox Evasion, например проверять наличие инструментов мониторинга безопасности (например, Sysinternals, Wireshark и т. д.) или других системных артефактов, связанных с анализом или виртуализацией. Злоумышленники могут также проверять легитимную активность пользователя, чтобы определить, находится ли он в среде анализа.Дополнительные методы включают использование таймеров сна или циклов в коде вредоносного ПО, чтобы избежать работы во временной "песочнице".(Цитата: Unit 42 Pirpi July 2015)
https://attack.mitre.org/techniques/T1497
Визуализация смежных техник для T1497
| № | Техника |
|---|
