恶意软件增加了在线沙箱检测以逃避分析

admin 2022年4月26日06:43:55安全闲碎评论14 views768字阅读2分33秒阅读模式

恶意软件开发人员现在正在检查其恶意软件是否在Any.Run恶意软件分析服务中运行,以防止研究人员轻松分析其恶意软件。


恶意软件增加了在线沙箱检测以逃避分析


Any.Run是一个恶意软件分析沙箱服务,可让研究人员和用户安全地分析恶意软件,而不会给计算机带来风险。


将可执行文件提交给Any.Run时,沙箱服务将创建一个具有交互式远程桌面的Windows虚拟机,并在其中执行提交的文件。


研究人员可以利用交互式Windows桌面查看恶意软件的行为,而Any.Run可以记录其网络活动,文件活动和注册表更改。


恶意软件开始检测是否在Any.Run中运行

在安全研究员JAMESWT发现的新的密码窃取木马垃圾邮件活动中,恶意PowerShell脚本正在将恶意软件下载并安装  到计算机上。


恶意软件增加了在线沙箱检测以逃避分析

恶意PowerShell脚本


执行上述脚本后,它将把包含混淆和嵌入式恶意软件的两个PowerShell脚本下载到受害者的计算机。


上面的脚本将解码嵌入式恶意软件并在计算机上执行。


运行第二个脚本时,它将尝试启动似乎是Azorult窃取密码的木马。


如果它检测到该程序正在Any.Run上运行,它将显示消息“ Any.run Detected!”。然后退出。这将导致恶意软件无法执行,因此沙箱无法对其进行分析。


恶意软件增加了在线沙箱检测以逃避分析

检测到沙箱,会自动终止


使用这种方法,威胁行为者使研究人员更加难以使用自动化系统来分析其攻击。


在正常的虚拟机或实时系统上执行时,窃取密码的木马将被允许执行和窃取浏览器,FTP程序和其他软件中保存的登录凭据。


尽管这不会阻止研究人员使用其他方法来分析特定的恶意软件,但确实会使他们不得不付出更多的精力进行分析。


随着安全研究人员越来越多地使用在线恶意软件分析沙箱平台,我们可能会看到越来越多恶意软件展现出新的玩法以逃避安全监测。

恶意软件增加了在线沙箱检测以逃避分析


共建网络安全命运共同体




原文始发于微信公众号(红数位):恶意软件增加了在线沙箱检测以逃避分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月26日06:43:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  恶意软件增加了在线沙箱检测以逃避分析 http://cn-sec.com/archives/636263.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: