恶意软件通常如何计算机器是否用于恶意软件分析？

Question

最近，我读到了一篇关于高级恶意软件的博客文章，它有一个滴管，可以确保受害者机器不被用于恶意软件分析，如果是这种情况，就会终止。

所以我认为它检查了一些软件的安装，但我不是专家，它可能会检查什么？

以及如何为安全目的创建类似的环境？不要问我为什么需要它，但我非常需要它。

Answer 1

不同的恶意软件会有不同的效果。

一种常见的技术是检查受害者机器是否是虚拟机。这可以通过像红丸这样的技巧来实现，或者通过一些虚拟网络适配器的存在来实现虚拟化的更简单的怪癖。显然，对于针对服务器/云的恶意软件来说，这并不是一种很好的技术，因为这样的系统被虚拟化并不少见。

另一个容易实现的技术是检查机器是否真实。这可以包括范围广泛的检查，比如检查计算机上是否有一个真实的数字和各种用户文档和文件。如果文档、下载和桌面文件夹中没有或很少有文件，恶意软件可能会确定这是一台可疑的机器并中止。恶意软件可以是创造性的，可以检查什么时候安装操作系统，如果用户的浏览历史是真实的，或任何其他指标，以确定该系统是否看起来像一个真正的人定期使用。

更复杂的恶意软件将检查系统中是否存在恶意软件检测和分析工具。这将包括反编译器/反汇编器(如IDAPro、objdump、ghidra等)、调试器(如gdb、WinDbg)、网络嗅探工具(如wireshark、tcpdump)和内存分析/取证工具(如波动性)。恶意软件还可以经常检查调试器是否已附加到它，或者是否有任何其他进程正在检查它的内存，这表明它正在被分析。

最终，这些技术中没有一个是万无一失的，经验丰富的恶意软件分析师经常围绕它们工作。

那么，如何使您的系统看起来像一个分析人员呢？

简单的部分是在VM中运行它，并安装尽可能多的恶意软件分析工具。但是，使您的文件系统看起来好像是一个新系统或没有经常使用，对我来说似乎不太实用。在调试器中运行所有东西也不容易。记住，即使你能做到这一点，这也不是对付所有恶意软件的灵丹妙药。特别是，针对低挂水果和脚本恶意软件的恶意软件通常不会为这类检查而烦恼。