查看: 30058|回复: 49
收起左侧

[杀软评测] 反虚拟机/沙盒检测技术:对几款在线沙盒的评估

  [复制链接]
Jerry.Lin
发表于 2020-5-14 01:07:36 | 显示全部楼层 |阅读模式
本帖最后由 Jerry.Lin 于 2020-5-14 09:16 编辑

恶意软件通常会嗅探虚拟沙盒环境来逃避自动化行为分析,例如识别虚拟机独有的文件,进程,或者做一些虚拟机无法完全模拟的操作。因此,对于一个自动化行为分析系统来说,如何伪装虚拟环境而不被恶意软件识破是一项十分重要的工作。本次测试挑选了国内外10家在线恶意软件沙盒分析平台,测试评估他们对自家分析环境的拟真/伪装情况。

测试采用的工具al-khaser, 一款类似pafish  但集合更多更新的反调试,反沙盒,反虚拟机检测技术的工具。
121212.png


测试内容包括:

一、调试器检测
  - 基本的例如 IsDebuggerPresent API ,PEB.BeingDebugged...
  - TLS 回调
  - hard/software breakpoints
  - VirtualAlloc
  ...

二、DLL注入检测
  - 检测是否有DLL注入此进程来实现对进程的行为监控(HOOK)

三、Virtual Box 检测
  - 检测文件,例如VBoxMouse.sys, VirtualBox Guest Additions directory...
  - 检测注册表,进程,服务,例如VBoxControl.exe, VBoxService...
  - 检测硬件名称,MAC地址等等...

四、VMware 检测
  - 与VB检测类似

五、其他虚拟平台检测
- 例如 Xen, QEMU, Wine, Paralles...

六、分析工具进程检测
- 检测例如OD, ProcessMonitor, Autorun 等分析工具进程的存在....

七、通用沙盒/虚拟机检测
- 检测是否存在特殊进程名,模块名
- 通过WMI检测真实硬件状态,例如硬盘大小,内存大小,CPU风扇,型号,BIOS序列号名称,电源电压,温度等等...

*更多测试项目技术细节请参见al-khaser
*原工具还有其他的对抗手段,例如延时攻击(Timing Attack),不过因为绝大部分平台对延时大法无能为力,故不包含在此次测试内。


参与测试的分析平台

1、微步沙盒:https://s.threatbook.cn/
2、腾讯哈勃分析系统:https://habo.qq.com/
3、魔盾:https://www.maldun.com/analysis/
4、微点沙盒:https://sandbox.depthsec.com.cn/index.php/
5、奇安信文件深度分析平台:https://sandbox.ti.qianxin.com/sandbox/page
6、ANYRUN:https://app.any.run/
7、HybridAnalysis (Falcon Sandbox):https://www.hybrid-analysis.com/
8、CAPE Sandbox: https://capesandbox.com/
9、BD Sandbox Analyzer:https://www.bitdefender.com/business/enterprise-products/sandbox-analyzer.html
10、Joe Sanbox: https://www.joesandbox.com/

测试项目


一共226个测试点*,“P”表示通过,即没有被检测到;“F”表示未通过,即被检测到;“N/A”表示在测试中崩溃,无结果可用。
*删除了原工具一些可能有误报或者不稳定的测试点。


测试结果

数据总览
按通过率排序,总百分比越高越好,绿色为此部分完全通过,黄色为此部分部分测试项目通过,红色为此部分无任何测试项目通过。
Annotation 2020-05-13 115026.png



测试项目细节
Annotation 2020-05-13 115055.png
Annotation 2020-05-13 115124.png
Annotation 2020-05-13 115152.png
Annotation 2020-05-13 115224.png
Annotation 2020-05-13 115253.png

通过WMI获取真实硬件状态为重灾区……几乎没有虚拟机能够完全通过这几个测试项目


附:数据表
anti sandbox test.zip (24.49 KB, 下载次数: 1549)

评分

参与人数 19原创 +1 分享 +3 人气 +58 收起 理由
axeaaa + 3 很给力!
IllusionWing + 3
我梦 + 3 赞一个!
lg560852 + 3 很给力!
Picca + 3 版区有你更精彩: )

查看全部评分

wangyuhe
发表于 2020-5-14 08:47:43 | 显示全部楼层
腾讯哈勃太拉了,以前还用它跑病毒,检测率有点低
shineee
发表于 2020-5-14 08:50:42 | 显示全部楼层
本帖最后由 shineee 于 2020-5-14 09:01 编辑

建议测一测本地沙盒如windows sandbox,comodo家的还有sandboxie等等(对不起我理解错了)
Miostartos
发表于 2020-5-14 09:55:49 | 显示全部楼层
好活。
巍巍
发表于 2020-5-14 17:31:50 | 显示全部楼层
支持原创评测,要是能测一测本地沙盒就更好了,我非常想知道Windows Sandbox的水平如何
a27573
发表于 2020-5-14 21:35:30 | 显示全部楼层
支持一下
anyrun 开了 heavy anti detection吗?(应该是叫这个)
Jerry.Lin
 楼主| 发表于 2020-5-14 22:48:20 | 显示全部楼层
巍巍 发表于 2020-5-14 03:31
支持原创评测,要是能测一测本地沙盒就更好了,我非常想知道Windows Sandbox的水平如何

可以自己编译去跑下
Jerry.Lin
 楼主| 发表于 2020-5-14 22:48:37 | 显示全部楼层
a27573 发表于 2020-5-14 07:35
支持一下
anyrun 开了 heavy anti detection吗?(应该是叫这个)

没诶,才注意到有这个选项
B100D1E55
发表于 2020-5-14 23:13:35 | 显示全部楼层
本帖最后由 B100D1E55 于 2020-5-14 23:15 编辑

笑死,想起上次有人吐槽BD企业版把一个management agent自动传沙盘之后控制台客户端列表出现了BD的沙盒虚拟机


延时的话可以看看malicious indicator会不会显示,有一些应该对简单的wait()是有跳过能力的,比如cuckoo
比较诧异的是有一些居然连基础的VBOX之类的都没cloak清楚……混日子么

测试辛苦了,其实我很好奇VMRay的结果,估计会很不错

评分

参与人数 1人气 +1 收起 理由
Jerry.Lin + 1 hhhhh

查看全部评分

likeBBQ
发表于 2020-5-15 16:26:22 | 显示全部楼层
这是不是说明用虚拟机和沙盒看电影也会中毒?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-15 07:10 , Processed in 0.141450 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表