恶意软件增加了沙箱检测以逃避分析

恶意软件开发人员现在正在检查其恶意软件是否在Any.Run恶意软件分析服务中运行，以防止研究人员轻松分析其恶意软件。

Any.Run是一个恶意软件分析沙箱服务，可让研究人员和用户安全地分析恶意软件，而不会给计算机带来风险。

将可执行文件提交给Any.Run时，沙箱服务将创建一个具有交互式远程桌面的Windows虚拟机，并在其中执行提交的文件。

研究人员可以利用交互式Windows桌面查看恶意软件的行为，而Any.Run可以记录其网络活动，文件活动和注册表更改。

恶意软件开始检测是否在Any.Run中运行

在安全研究员JAMESWT发现的新的密码窃取木马垃圾邮件活动中，恶意PowerShell脚本正在将恶意软件下载并安装 到计算机上。

恶意PowerShell脚本

执行上述脚本后，它将把包含混淆和嵌入式恶意软件的两个PowerShell脚本下载到受害者的计算机。

上面的脚本将解码嵌入式恶意软件并在计算机上执行。

运行第二个脚本时，它将尝试启动似乎是Azorult窃取密码的木马。

如果它检测到该程序正在Any.Run上运行，它将显示消息“ Any.run Detected！”。然后退出。这将导致恶意软件无法执行，因此沙箱无法对其进行分析。

检测到沙箱，会自动终止

使用这种方法，威胁行为者使研究人员更加难以使用自动化系统来分析其攻击。

在正常的虚拟机或实时系统上执行时，窃取密码的木马将被允许执行和窃取浏览器，FTP程序和其他软件中保存的登录凭据。

尽管这不会阻止研究人员使用其他方法来分析特定的恶意软件，但确实会使他们不得不付出更多的精力进行分析。

随着安全研究人员越来越多地使用在线恶意软件分析沙箱平台，我们可能会看到越来越多恶意软件展现出新的玩法以逃避安全监测。

共建网络安全命运共同体

如果觉得《恶意软件增加了沙箱检测以逃避分析》对你有帮助，请点赞、收藏，并留下你的观点哦！