Recorded Future Sandbox には、VM 対策として 3 段階のアプローチがあります。
- ハイパーバイザー- CPU 仮想化などの検出に関する既知の VM 対策TTPsに適切に対処できるように変更された KVM/QEMU を使用します。
- VM イメージ- マルウェア分析専用に設計された VM を構築するための独自のカスタム フレームワークがあります。つまり、レジストリ キーやデバイス名などの証拠となるデータはすべてクリーンアップされ、問題の OS を実行している実際の物理マシンから取得された値に置き換えられるため、データが現実的であることが保証されます。また、あまり技術的でない VM 検知 方法に対処するために、「最近のファイル」データベースにデータを追加したり、フォルダーを埋めるための偽のドキュメントを生成したりもします。
- カーネル エージェント- カーネル エージェントは、当然のことながらマルウェア サンプルを実行し、分析に使用するイベントをログに記録しますが、他の 2 つのステージでは処理できない残りの VM 対策TTPsにも大いに役立ちます。 基本的に、これはルートキットのように動作し、あらゆる API 呼び出しを傍受し、レスポンス の内容やタイミングを変更してリアルに見せることができます。 たとえば、特定の API が実際のマシンよりも仮想マシン上でわずかに速く応答するタイミング方法がある場合、エージェントは応答を遅延させて、それが 検知 に役立たないようにします。
サンドボックスは、上記の 1 つ以上のアプローチを使用して、一般的に使用されるすべてのアンチ VM/アンチサンドボックス チェックに合格するように構築されています。ただし、VM 対策検知は常に進化しており、新しいTTPs登場するたびに追加の修正が頻繁にリリースされます。
特定のTTPsがどのように対処されるかについての具体的な詳細は以下をご覧ください。
- 時間ベースのトリガー - 遅延実行、遅延コマンド アンド コントロール (C2) 通信、スレッド ストール: サンドボックスは、実行遅延を実装するために一般的に使用される方法を検出し、多くの場合、これらを早期にトリガーしてマルウェア サンプルを強制的に実行することができます。私たちは、動作を補完し、これらのTTPsが使用されたタイミングを検出し、意図された(実際のではない)マルウェアの動作を報告するために、静的分析に依存しています。
- 時間ベースのトリガー - 時限爆弾: これに対するサンドボックスの範囲は、 TTPsの実装によって異なります。 場合によっては、このTTPsの使用が検出されることがあります。 サンプルが弊社がサポートするマルウェア ファミリのものであれば、マルウェア作成者が実行に設定した条件に関係なく、検出または抽出できます。
- コードの難読化と解凍 - 階層化難読化、オンデマンド復号化: さまざまな種類の (階層化) 暗号化、パックおよび難読化方法などをサポートしています。動作分析中に、サンドボックスは VM のメモリを使用してサンプルに関する関連情報を抽出し、検知を生成したり、マルウェア構成を抽出したりします。 マルウェアが動作して機能を果たすためには、必ずある時点で、暗号化されていないプレーンな情報をメモリに保存する必要があります。多くの場合、そのプレーンな情報は、サンプルの他の部分などを抽出/復号化するために使用します。