恶意软件开发人员现在正在检查其恶意软件是否在Any.Run恶意软件分析服务中运行,以防止研究人员轻松分析其恶意软件。
Any.Run是一个恶意软件分析沙箱服务,可让研究人员和用户安全地分析恶意软件,而不会给计算机带来风险。
将可执行文件提交给Any.Run时,沙箱服务将创建一个具有交互式远程桌面的Windows虚拟机,并在其中执行提交的文件。
研究人员可以利用交互式Windows桌面查看恶意软件的行为,而Any.Run可以记录其网络活动,文件活动和注册表更改。
恶意软件开始检测是否在Any.Run中运行
在安全研究员JAMESWT发现的新的密码窃取木马垃圾邮件活动中,恶意PowerShell脚本正在将恶意软件下载并安装 到计算机上。
恶意PowerShell脚本
执行上述脚本后,它将把包含混淆和嵌入式恶意软件的两个PowerShell脚本下载到受害者的计算机。
上面的脚本将解码嵌入式恶意软件并在计算机上执行。
运行第二个脚本时,它将尝试启动似乎是Azorult窃取密码的木马。
如果它检测到该程序正在Any.Run上运行,它将显示消息“ Any.run Detected!”。然后退出。这将导致恶意软件无法执行,因此沙箱无法对其进行分析。
检测到沙箱,会自动终止
使用这种方法,威胁行为者使研究人员更加难以使用自动化系统来分析其攻击。
在正常的虚拟机或实时系统上执行时,窃取密码的木马将被允许执行和窃取浏览器,FTP程序和其他软件中保存的登录凭据。
尽管这不会阻止研究人员使用其他方法来分析特定的恶意软件,但确实会使他们不得不付出更多的精力进行分析。
随着安全研究人员越来越多地使用在线恶意软件分析沙箱平台,我们可能会看到越来越多恶意软件展现出新的玩法以逃避安全监测。
原文始发于微信公众号(红数位):恶意软件增加了在线沙箱检测以逃避分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论