反虚拟机/沙盒检测技术：对几款在线沙盒的评估

显示全部楼层 · 发表于 2020-5-14 01:07:36

本帖最后由 Jerry.Lin 于 2020-5-14 09:16 编辑

恶意软件通常会嗅探虚拟沙盒环境来逃避自动化行为分析，例如识别虚拟机独有的文件，进程，或者做一些虚拟机无法完全模拟的操作。因此，对于一个自动化行为分析系统来说，如何伪装虚拟环境而不被恶意软件识破是一项十分重要的工作。本次测试挑选了国内外10家在线恶意软件沙盒分析平台，测试评估他们对自家分析环境的拟真/伪装情况。

测试采用的工具al-khaser, 一款类似pafish 但集合更多更新的反调试，反沙盒，反虚拟机检测技术的工具。

测试内容包括：

一、调试器检测
  - 基本的例如 IsDebuggerPresent API ，PEB.BeingDebugged...
  - TLS 回调
  - hard/software breakpoints
  - VirtualAlloc
  ...

二、DLL注入检测
  - 检测是否有DLL注入此进程来实现对进程的行为监控（HOOK）

三、Virtual Box 检测
  - 检测文件，例如VBoxMouse.sys， VirtualBox Guest Additions directory...
  - 检测注册表，进程，服务，例如VBoxControl.exe， VBoxService...
  - 检测硬件名称，MAC地址等等...

四、VMware 检测
  - 与VB检测类似

五、其他虚拟平台检测
- 例如 Xen, QEMU, Wine, Paralles...

六、分析工具进程检测
- 检测例如OD, ProcessMonitor, Autorun 等分析工具进程的存在....

七、通用沙盒/虚拟机检测
- 检测是否存在特殊进程名，模块名
- 通过WMI检测真实硬件状态，例如硬盘大小，内存大小，CPU风扇，型号，BIOS序列号名称，电源电压，温度等等...

*更多测试项目技术细节请参见al-khaser
*原工具还有其他的对抗手段，例如延时攻击（Timing Attack），不过因为绝大部分平台对延时大法无能为力，故不包含在此次测试内。

参与测试的分析平台

1、微步沙盒：https://s.threatbook.cn/
2、腾讯哈勃分析系统：https://habo.qq.com/
3、魔盾：https://www.maldun.com/analysis/
4、微点沙盒：https://sandbox.depthsec.com.cn/index.php/
5、奇安信文件深度分析平台：https://sandbox.ti.qianxin.com/sandbox/page
6、ANYRUN：https://app.any.run/
7、HybridAnalysis (Falcon Sandbox)：https://www.hybrid-analysis.com/
8、CAPE Sandbox: https://capesandbox.com/
9、BD Sandbox Analyzer：https://www.bitdefender.com/business/enterprise-products/sandbox-analyzer.html
10、Joe Sanbox: https://www.joesandbox.com/

测试项目

一共226个测试点*，“P”表示通过，即没有被检测到；“F”表示未通过，即被检测到；“N/A”表示在测试中崩溃，无结果可用。
*删除了原工具一些可能有误报或者不稳定的测试点。

测试结果

数据总览
按通过率排序，总百分比越高越好，绿色为此部分完全通过，黄色为此部分部分测试项目通过，红色为此部分无任何测试项目通过。
Annotation 2020-05-13 115026.png

测试项目细节

通过WMI获取真实硬件状态为重灾区……几乎没有虚拟机能够完全通过这几个测试项目

附：数据表

anti sandbox test.zip (24.49 KB, 下载次数: 340)

显示全部楼层 · 发表于 2020-5-14 08:47:43

腾讯哈勃太拉了，以前还用它跑病毒，检测率有点低

显示全部楼层 · 发表于 2020-5-14 08:50:42

本帖最后由 shineee 于 2020-5-14 09:01 编辑

建议测一测本地沙盒如windows sandbox，comodo家的还有sandboxie等等（对不起我理解错了）

显示全部楼层 · 发表于 2020-5-14 09:55:49

好活。

显示全部楼层 · 发表于 2020-5-14 17:31:50

支持原创评测,要是能测一测本地沙盒就更好了,我非常想知道Windows Sandbox的水平如何

显示全部楼层 · 发表于 2020-5-14 21:35:30

支持一下
anyrun 开了 heavy anti detection吗？(应该是叫这个)

显示全部楼层 · 发表于 2020-5-14 22:48:20

巍巍发表于 2020-5-14 03:31
支持原创评测,要是能测一测本地沙盒就更好了,我非常想知道Windows Sandbox的水平如何

可以自己编译去跑下

显示全部楼层 · 发表于 2020-5-14 22:48:37

a27573 发表于 2020-5-14 07:35
支持一下
anyrun 开了 heavy anti detection吗？(应该是叫这个)

没诶，才注意到有这个选项

显示全部楼层 · 发表于 2020-5-14 23:13:35

本帖最后由 B100D1E55 于 2020-5-14 23:15 编辑

笑死，想起上次有人吐槽BD企业版把一个management agent自动传沙盘之后控制台客户端列表出现了BD的沙盒虚拟机

延时的话可以看看malicious indicator会不会显示，有一些应该对简单的wait()是有跳过能力的，比如cuckoo
比较诧异的是有一些居然连基础的VBOX之类的都没cloak清楚……混日子么

测试辛苦了，其实我很好奇VMRay的结果，估计会很不错

显示全部楼层 · 发表于 2020-5-15 16:26:22

这是不是说明用虚拟机和沙盒看电影也会中毒？

[杀软评测] 反虚拟机/沙盒检测技术：对几款在线沙盒的评估

评分

评分