Киберпреступники постоянно совершенствуют методы атак, используя среди прочего знания о принципах работы систем защиты. Например, появилось целое направление техник обхода песочниц: такие методы позволяют определять, что вредоносное ПО выполняется в контролируемой виртуальной среде, и, исходя из этого, менять его поведение или завершать работу. К наиболее популярным техникам из указанной категории можно отнести проверки:
• бита гипервизора в регистре ECX инструкции CPUID(1);
• имени гипервизора в результате выполнения инструкции CPUID(0x40000000);
• имени текущего пользователя или компьютера по списку;
• MAC-адресов сетевых адаптеров, присутствующих в системе;
• количества ядер процессора, общего объема оперативной памяти, размера жесткого диска, разрешения экрана;
• наличия файлов, путей реестра, сервисов, драйверов и процессов, специфичных для виртуальных сред;
• времени, прошедшего с момента последнего запуска системы.
Детальнее о техниках обхода песочниц в таргетированных атаках — в другой нашей статье. А сегодня поговорим о более продвинутых временных атаках, использующих особенности работы гипервизора для детектирования виртуального окружения.