Причинами почему ВПО стремится определить запущено ли оно в песочнице или виртуальной среде, может быть попытка избежать анализа и обнаружения, так как такие среды используются специалистами для исследования поведения вредоносных программ. Также ВПО может быть нацелено на конкретные системы или организации.
🛡 Для уклонения от обнаружения в матрице
MITRE ATT&CK выделяется техника
T1497 - Virtualization/Sandbox Evasion. ⁉️ Как ВПО определяет что оно в песочнице?⏺️Системные параметры: анализ реестра на наличие ключей характерных для виртуальных машин, также проверяется количество установленных приложений.
⏺️Аппаратные характеристики: MAC-адреса сетевых интерфейсов, виртуальные сетевые карты, диски или процессоры, наличие периферийных устройств, размер жесткого диска, разрешение экрана, количество процессоров, размер ОЗУ.
⏺️Окружение: проверяется наличие инструментов, которые могут быть использованы для анализа в песочнице либо различные агенты песочниц, анализ активности пользователя, количество запущенных процессов, обнаружение отладчиков, сетевые подключения.
⏺️Поведение системы: наличие искусственных задержек, время выполнения определенных операций.
