Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1497.001 - Системные проверки

Техники:  T1497 , T1497.001 , T1497.002 , T1497.003

Злоумышленники могут использовать различные системные проверки для обнаружения и обхода сред виртуализации и анализа. Это может включать изменение поведения на основе результатов проверок на наличие артефактов, указывающих на наличие среды виртуальной машины (VME) или песочницы. Если Злоумышленник обнаруживает VME, он может изменить свое вредоносное ПО, чтобы отсоединиться от жертвы или скрыть основные функции имплантата. Они также могут искать артефакты VME перед тем, как сбросить вторую или дополнительную полезную нагрузку.Злоумышленники могут использовать информацию, полученную в ходе автоматизированного обнаружения Virtualization/Sandbox Evasion, для формирования последующего поведения.(Цит. по: Deloitte Environment Awareness)

Конкретные проверки зависят от цели и/или Злоумышленника, но могут включать такие методы поведения, как Windows Management Instrumentation, PowerShell, System Information Discovery и Query Registry для получения системной информации и поиска артефактов VME. Злоумышленники могут искать артефакты VME в памяти, процессах, файловой системе, оборудовании и/или реестре. Злоумышленники могут использовать сценарии для автоматизации этих проверок в одном сценарии, а затем заставить программу завершить работу, если она определит, что система является виртуальной средой.

Проверки могут включать общие свойства системы, такие как имя хоста/домена и образцы сетевого трафика. Злоумышленники также могут проверять адреса сетевых адаптеров, количество ядер процессора и объем доступной памяти/дисков. После выполнения вредоносная программа может также использовать File and Directory Discovery, чтобы проверить, была ли она сохранена в папке или файле с неожиданными или даже связанными с анализом артефактами именования, такими как `malware`, `ample` или `hash`.

Другие распространенные проверки могут включать перечисление запущенных служб, уникальных для этих приложений, установленных в системе программ, полей производителя/продукта для строк, относящихся к приложениям виртуальных машин, и специфических для VME инструкций к оборудованию/процессору.(Цитата: McAfee Virtual Jan 2017) В таких приложениях, как VMWare, злоумышленники также могут использовать специальный порт ввода/вывода для отправки команд и получения выходных данных.

Проверка аппаратного обеспечения, например наличие вентилятора, температуры и аудиоустройств, также может использоваться для сбора доказательств, свидетельствующих о наличии виртуальной среды.Злоумышленники также могут запрашивать конкретные показания этих устройств.(Цит. по: Unit 42 OilRig Sept 2018)

https://attack.mitre.org/techniques/T1497/001

← Назад

Визуализация смежных техник для T1497.001

Отрасль:
 с подтехниками
Техника

Закрыть