Perché alcuni eseguibili ransomware funzionano su VirtualBox? [chiuso]

1

Anche se sembra che abbiano funzionalità anti-VM? Ho scaricato alcuni ultimi esempi di eseguibili ransomware da cerber, locky e altre famiglie di ransomware

Perché vengono ancora eseguiti nell'ambiente virtualbox? Si tratta di una nuova virtualbox nuova, senza alcun problema di eludere l'analisi del malware. Date le ultime versioni, non dovrebbero essere eseguite nell'ambiente perché virtualbox stessa è una VM, dovrebbero essere eluse da loro al primo posto?

Si prega di avvisare, grazie!

    
posta Pwn Fire 20.11.2017 - 02:29
fonte

1 risposta

3

Oggigiorno, con la prevalenza della virtualizzazione nelle organizzazioni, una buona quantità di sistemi di produzione vengono configurati come macchine virtuali, quindi non è più una buona strategia saltare le macchine virtuali e non infettarle.

Ad esempio questo vecchio report di Symantec mostra che il malware sta infettando macchine virtuali ( Rapporto Symantec ).

Gli autori di malware tentano di incorporare altri meccanismi per aggirare l'analisi e il rilevamento automatici e in questi giorni essere eseguiti su una macchina virtuale da soli non sono un puntatore di una sandbox o di un ambiente di analisi presente. Ad esempio, dormendo per lunghi periodi di tempo prima di iniziare l'operazione o aspettando l'interazione dell'utente, è possibile evadere sandbox (o Detonation Boxes) in alcuni sistemi di rilevamento delle intrusioni e naturalmente questo è un gioco di gatto e topo in cui proviamo a progettare sandbox e ambienti di analisi che non possono essere rilevati dal malware e autori di malware cercano di trovare nuovi metodi per rilevare questi sistemi e prevenire il rilevamento. ( Rilevamento di tecniche di evasione di malware e sandbox di Sans )

    
risposta data 20.11.2017 - 03:19
fonte

Leggi altre domande sui tag