Tecniche di Evasione Sandbox Online – Proof of Concept

È un dato di fatto che gli incidenti di sicurezza causati da malware sono tra i più frequenti. Al fine di contenere l’incidente e/o valutare l’impatto è importante analizzare le informazioni relative alla natura del malware e al suo comportamento. La raccolta di queste informazioni consente di individuare infezioni provenienti da malware appartenenti alla stessa famiglia e di studiare soluzioni per risolvere o contenere la compromissione.

L’analisi dei sample mediante sandbox online è diventata una pratica comune tra gli analisti di sicurezza, spesso senza tener conto che i report prodotti dalle sandbox online non sono sufficienti a fornire una risposta certa ed esauriente.

Scenari possibili

Se il report presenta attività network verso il dominio taldeitali.net non è detto che il dominio in questione sia il solo che il malware sia capace di contattare. Idem se il report non fornisce alcuna evidenza relativa alle attività di rete.

Nel primo caso, il malware potrebbe contenere una lista di domini di backup da utilizzare nel caso in cui una delle risorse da contattare non risulti più raggiungibile. Nel secondo caso, avendo individuato l’ambiente in cui è stato eseguito, il malware potrebbe aver cambiato comportamento e di conseguenza il report prodotto dalla sandbox conterrà informazioni parzialmente o totalmente errate.

Proof of concept

sample_anti_malwr

Il sample riportato nello screenshot, è un proof di malware dropper creato in laboratorio che utilizza due indirizzi [righe 5, 6 (principale) e 9, 10 (alternativo)] da cui prelevare il file malware.exe e verso cui inviare le informazioni carpite.

Alla riga 16 viene acquisito uno dei tanti elementi univoci dell’host compromesso che successivamente verrà comparato con le variabili $Anubis e $Malwr [riga 26]. Se il riscontro è positivo, quindi il malware si è reso conto di esser stato eseguito all’interno di una sandbox online da lui nota, non compierà alcuna azione [riga 27] e il report prodotto non conterrà alcuna informazione relativa alle attività network (Malwr.com report).

malwr

Lo stesso sample sottoposto a una sandbox non nota al malware produrrà invece un report incompleto qualora la risorsa all’indirizzo principale [riga 5] risulti raggiungibile. (Reverse.it report).

reverse

In nessuno dei due casi l’analista che si affida esclusivamente al report delle sandbox online avrà evidenza dell’esistenza dell’indirizzo alternativo noto al malware [riga 9].