Обход виртуализации/песочницы

Злоумышленники могут использовать различные средства для обнаружения и обхода виртуализированных сред и сред анализа. Это может включать изменение поведения на основе результатов проверок наличия артефактов, указывающих на виртуальную машину (VME) или песочницу. Если злоумышленник обнаруживает VME, он может изменить вредоносное ПО, чтобы прекратить взаимодействие с жертвой или скрыть основные функции имплантата. Они также могут искать артефакты VME перед развертыванием вторичных или дополнительных полезных нагрузок. Злоумышленники могут использовать информацию, полученную в результате обхода виртуализации/песочницы во время автоматизированного обнаружения, для формирования последующих действий. Злоумышленники могут использовать несколько методов для осуществления обхода виртуализации/песочницы, таких как проверка на наличие средств мониторинга безопасности (например, Sysinternals, Wireshark и т.д.) или других системных артефактов, связанных с анализом или виртуализацией. Злоумышленники также могут проверять наличие легитимной активности пользователя, чтобы определить, находятся ли они в среде анализа. Дополнительные методы включают использование таймеров сна или циклов в коде вредоносного ПО, чтобы избежать работы во временной песочнице.