最近在阅读一些国内反沙箱技术文章,很多文章都运用的常见技术,但是效果往往差强人意。常见的技术如下
- 判断CPU核心数
- 检测进程数
- 检测文件夹
- 检测硬盘数量
- 检测网络适配器数量
- 等等
在测试微步云沙箱时,我发现了一种关于时间操作的技术,可以成功阻止微步云沙箱对其应用程序进行行为分析。获取方式:连同cobaltstrike4.9.1二开版本、免杀插件以及其他发布的工具都放在了内部星球里。
首先使用的老版本arsenal-kit 默认的生成的artifact_x64.exe程序,上传到微步云沙箱,检出率接近1/2,
并且同时微步云沙箱成功检测到程序外联行为,从而把你的公网CobaltStrike服务器IP打上恶意标签
然后在老版本arsenal-kit 代码中加入我们基于时间的反沙箱技术,然后将木马上传到微步云沙箱进行分析,检出率仅为1/27,可以看到检出率大幅度下降,成功绕过许多杀毒软件。
通过反沙箱技术成功阻止云沙箱分析其行为。
本地环境运行成功上线CobaltStrike
原文始发于微信公众号(渗透安全团队):免杀 | 一种新型反微步云沙箱技术
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论