Wprowadzenie do problemu / definicja
Współczesne kampanie malware coraz częściej stawiają nie tylko na skuteczne dostarczenie ładunku, ale również na weryfikację środowiska uruchomieniowego. Dla operatorów złośliwego systemu najważniejsze staje się ustalenie, czy próbka działa na prawdziwej stacji roboczej użytkownika, czy w kontrolowanym środowisku analitycznym, takim jak sandbox lub maszyna wirtualna.
W tym kontekście rośnie znaczenie technik określanych jako sandbox oraz virtualization evasion. Ich celem jest ukrycie adekwatnego działania malware przed analitykami i systemami bezpieczeństwa poprzez wstrzymanie aktywności do momentu potwierdzenia, iż środowisko wygląda wiarygodnie. Jednym z najbardziej interesujących trendów jest analiza geometrii ruchu kursora, która pełni rolę swoistego testu Turinga dla użytkownika.
W skrócie
Nowoczesne próbki malware coraz częściej wykorzystują mechanizmy antyanalityczne oparte na trzech filarach: kontrolach systemowych, analizie aktywności użytkownika oraz pomiarach czasowych. Zamiast uruchamiać ładunek bezpośrednio po infekcji, kod najpierw sprawdza, czy komputer przypomina realne środowisko pracy.
Szczególnie istotne są techniki badające ruch myszy. Malware potrafi analizować trajektorię kursora, długość kolejnych przemieszczeń oraz kąty między segmentami ruchu, aby odróżnić zachowanie człowieka od sztucznie wygenerowanej aktywności. jeżeli środowisko wyda się podejrzane, złośliwy kod może pozostać całkowicie uśpiony.
Kontekst / historia
Techniki unikania analizy nie są nowym zjawiskiem, jednak ich rola wyraźnie wzrosła wraz z ewolucją współczesnych kampanii cyberprzestępczych. Dawny model działania polegający na szybkim uruchomieniu payloadu po infekcji coraz częściej ustępuje miejsca podejściu selektywnemu, w którym malware aktywuje się dopiero po potwierdzeniu, iż trafiło na wartościowy i wiarygodny cel.
To przesunięcie jest szczególnie widoczne w rodzinach infostealerów, loaderów i zagrożeń wieloetapowych. W takich kampaniach pierwszy etap infekcji może służyć wyłącznie do rozpoznania środowiska, wykrycia artefaktów analitycznych oraz oceny, czy dalsza aktywność nie narazi operatora na przedwczesną detekcję. W praktyce techniki ewazyjne stały się integralną częścią łańcucha wykonania malware, a nie jedynie dodatkiem.
Analiza techniczna
Analizowany trend można podzielić na trzy główne klasy mechanizmów. Pierwsza obejmuje kontrole środowiska systemowego. Malware sprawdza parametry hosta, takie jak liczba rdzeni procesora, rozdzielczość ekranu, obecność urządzeń audio i wideo, identyfikatory dysków, sterowniki oraz artefakty charakterystyczne dla maszyn wirtualnych. o ile system wygląda zbyt ubogo, zbyt sterylnie lub nienaturalnie, próbka może przerwać działanie.
Druga grupa to kontrole aktywności użytkownika. W tym modelu złośliwe oprogramowanie nie ogranicza się do prostego pytania, czy kursor się porusza. Zamiast tego analizuje jakość ruchu. Na podstawie kolejnych pozycji kursora obliczane są długości wektorów, odległości między punktami oraz kąty pomiędzy sąsiednimi segmentami trajektorii. To podejście wykorzystuje klasyczne narzędzia geometrii analitycznej i trygonometrii do oceny, czy ruch wygląda naturalnie.
Naturalny ruch człowieka zwykle zawiera mikrokorekty, delikatne zmiany kierunku i nieregularność. Zautomatyzowane systemy analityczne częściej generują ruch zbyt idealny, zbyt liniowy albo skokowy. Dla malware taki wzorzec może być sygnałem, iż działa w sandboxie. W konsekwencji adekwatny payload nie zostaje uruchomiony, a analiza dynamiczna nie wykazuje jawnie złośliwej aktywności.
Trzecia kategoria obejmuje kontrole czasowe. Malware mierzy opóźnienia i charakterystykę wykonywania instrukcji procesora, aby wykryć narzut wprowadzany przez hiperwizor. W praktyce mogą być wykorzystywane pętle instrukcji procesora oraz współbieżne obliczenia, które pozwalają porównać zachowanie systemu z oczekiwanym profilem sprzętu fizycznego. jeżeli zależności czasowe odbiegają od normy, próbka uznaje środowisko za sztuczne.
Kluczowe jest to, iż wszystkie te mechanizmy mogą działać jeszcze przed rozpakowaniem lub uruchomieniem adekwatnego ładunku. Dla klasycznych sandboxów oznacza to realne ryzyko uzyskania fałszywie negatywnego wyniku analizy.
Konsekwencje / ryzyko
Dla zespołów bezpieczeństwa rozwój takich technik oznacza spadek skuteczności tradycyjnej analizy dynamicznej. o ile malware rozpozna środowisko testowe na podstawie cech systemu, wzorców ruchu myszy lub anomalii czasowych CPU, może nie ujawnić żadnych złośliwych działań. W efekcie próbka zostanie błędnie sklasyfikowana jako niegroźna lub nieaktywna.
Ryzyko dotyczy nie tylko laboratoriów analitycznych, ale również sandboxów pocztowych, systemów EDR i platform automatycznego wykrywania zagrożeń. Im bardziej przewidywalne, ubogie i standaryzowane środowisko, tym większe prawdopodobieństwo, iż zostanie rozpoznane jako sztuczne. To szczególnie groźne w kampaniach, w których pierwszy etap infekcji ma wyłącznie ocenić, czy warto aktywować kolejne komponenty ataku.
W praktyce konsekwencją może być dłuższa obecność przeciwnika w środowisku, mniejsza widoczność telemetryczna oraz opóźniona reakcja obronna. Brak aktywności próbki w laboratorium nie powinien być więc interpretowany jako dowód braku zagrożenia.
Rekomendacje
Organizacje powinny zakładać, iż techniki sandbox evasion są dziś standardowym elementem nowoczesnego malware. Środowiska analityczne warto projektować tak, aby jak najwierniej odzwierciedlały rzeczywiste stacje robocze użytkowników, zarówno pod względem sprzętu, jak i charakterystyki aktywności.
- utrzymywać realistyczne profile środowisk analitycznych, w tym odpowiednią liczbę rdzeni, typowe rozdzielczości oraz obecność urządzeń peryferyjnych,
- monitorować próby enumeracji systemu i wykrywania artefaktów wirtualizacji,
- analizować nietypowe wywołania API związane z pozycją kursora, aktywnością użytkownika i pomiarami czasu,
- korelować dane z endpointów z telemetrią sieciową i zdarzeniami tożsamościowymi,
- testować mechanizmy obronne przy użyciu realistycznych symulacji zachowań przeciwnika, a nie wyłącznie analizy statycznej plików,
- traktować samą logikę antyanalityczną jako sygnał wysokiego ryzyka, choćby jeżeli payload nie został uruchomiony.
Dobrą praktyką jest także regularna weryfikacja, czy firmowe sandboxy nie ujawniają typowych wskaźników środowisk wirtualnych. Wraz ze wzrostem dojrzałości technik ewazyjnych obrona musi koncentrować się nie tylko na skutkach działania malware, ale również na próbach rozpoznania i obejścia mechanizmów bezpieczeństwa.
Podsumowanie
Nowa generacja malware coraz częściej przeprowadza własny test Turinga, próbując ustalić, czy po drugiej stronie znajduje się realny użytkownik, czy zautomatyzowane środowisko analityczne. Analiza geometrii ruchu kursora, kontrole systemowe i pomiary czasowe CPU pokazują, iż unikanie detekcji staje się coraz bardziej precyzyjne i selektywne.
Dla obrońców oznacza to konieczność zmiany podejścia. Sama detonacja próbki w sandboxie przestaje wystarczać, jeżeli złośliwy kod potrafi wiarygodnie ocenić autentyczność środowiska. najważniejsze staje się więc budowanie bardziej realistycznych platform analitycznych oraz wykrywanie już samej logiki antyanalitycznej jako oznaki zaawansowanego zagrożenia.
Źródła
- The New Turing Test: How Threats Use Geometry to Prove 'Humanness’ — https://www.bleepingcomputer.com/news/security/the-new-turing-test-how-threats-use-geometry-to-prove-humanness/
- MITRE ATT&CK T1497: Virtualization/Sandbox Evasion — https://attack.mitre.org/techniques/T1497/
- MITRE ATT&CK T1497.001: System Checks — https://attack.mitre.org/techniques/T1497/001/
- MITRE ATT&CK T1497.002: User Activity Based Checks — https://attack.mitre.org/techniques/T1497/002/
- MITRE ATT&CK T1497.003: Time Based Checks — https://attack.mitre.org/techniques/T1497/003/
