Техники: T1497 , T1497.001 , T1497.002 , T1497.003
Злоумышленники могут использовать различные проверки активности пользователя для обнаружения и избежания сред виртуализации и анализа. Это может включать изменение поведения на основе результатов проверок на наличие артефактов, указывающих на наличие среды виртуальной машины (VME) или песочницы. Если Злоумышленник обнаруживает VME, он может изменить свое вредоносное ПО, чтобы отсоединиться от жертвы или скрыть основные функции имплантата. Они также могут искать артефакты VME перед тем, как сбросить вторую или дополнительную полезную нагрузку.Злоумышленники могут использовать информацию, полученную от Virtualization/Sandbox Evasion во время автоматического обнаружения, для формирования последующего поведения.(Цит. по: Deloitte Environment Awareness)
Злоумышленники могут искать активность пользователя на хосте на основе таких переменных, как скорость/частота движений и нажатий мыши (Цит. по: Sans Virtual Jan 2016), история браузера, кэш, закладки или количество файлов в общих каталогах, таких как home или desktop.Другие методы могут зависеть от конкретного взаимодействия пользователя с системой перед активацией вредоносного кода, например, ожидание закрытия документа перед активацией макроса (цит. по: Unit 42 Sofacy Nov 2018) или ожидание двойного щелчка пользователя по встроенному изображению для активации.(цит. по: FireEye FIN7 April 2017)
https://attack.mitre.org/techniques/T1497/002
Визуализация смежных техник для T1497.002
| № | Техника |
|---|
