恶意软件增加了在线沙箱检测功能,以逃避分析

任意运行

恶意软件开发人员现在正在检查其恶意软件是否在Any.Run恶意软件分析服务中运行,以防止研究人员轻松分析其恶意软件。

Any.Run是一个恶意软件分析沙箱服务,可让研究人员和用户安全地分析恶意软件,而不会给计算机带来风险。

READ MORE将可执行文件提交给Any.Run时,沙箱服务将创建一个具有交互式远程桌面的Windows虚拟机,并在其中执行提交的文件。

研究人员可以利用交互式Windows桌面查看恶意软件的行为,而Any.Run可以记录其网络活动,文件活动和注册表更改。

恶意软件开始检测是否在Any.Run中运行

在安全研究员JAMESWT发现的新的密码窃取木马垃圾邮件活动中,恶意PowerShell脚本正在将恶意软件下载并安装  到计算机上。

恶意PowerShell脚本

执行上述脚本后,它将把包含混淆和嵌入式恶意软件的两个PowerShell脚本下载到受害者的计算机。

上面的脚本将解码嵌入式恶意软件并在计算机上执行。

运行第二个脚本时,它将尝试启动似乎是Azorult窃取密码的木马。

如果检测到该程序正在Any.Run上运行,它将显示消息“ Any.run Deteceted!”。然后退出。这将导致恶意软件无法执行,因此沙箱无法对其进行分析。

检测到任何运行!
检测到任何运行!

使用这种方法,威胁行为者使研究人员更加难以使用自动化系统来分析其攻击。

在正常的虚拟机或实时系统上执行时,窃取密码的木马将被允许执行和窃取浏览器,FTP程序和其他软件中保存的登录凭据。

尽管这不会阻止研究人员使用其他方法来分析特定的恶意软件,但确实会使他们不得不付出更多的精力进行分析。

随着安全研究人员越来越多地使用在线恶意软件分析沙箱平台,我们可以期望看到更多恶意软件继续将其作为目标。

 

*编译:Domino

*来自:bleepingcomputer

标签: