killvxk/analyzing-malware-sandbox-evasion-techniques

分析恶意软件沙箱逃避技术

概述

沙箱逃避（MITRE ATT&CK T1497）允许恶意软件检测分析环境并改变行为以规避检测。本技能分析 Cuckoo Sandbox 和 AnyRun 的行为报告中的逃避指标，包括基于时序的检查（GetTickCount、QueryPerformanceCounter、睡眠膨胀）、虚拟机工件检测（注册表键、MAC 地址前缀、进程名称如 vmtoolsd.exe）、用户交互检测（鼠标移动、键盘输入）和环境指纹识别（磁盘大小、CPU 数量、内存容量）。检测规则标记表现出这些行为的样本以供深入人工分析。

前置条件

• Cuckoo Sandbox 2.0+ 或 AnyRun 账户，用于行为分析报告
• Python 3.8+，带 json 库用于报告解析
• JSON 格式的行为报告导出

步骤

1. 解析 Cuckoo/AnyRun 行为报告 JSON 文件
2. 提取与时序相关函数的 API 调用序列
3. 通过注册表查询和 WMI 调用识别虚拟机工件检测
4. 通过比较请求的与实际的睡眠时长检测睡眠膨胀
5. 标记用户交互检测（GetCursorPos、GetAsyncKeyState 模式）
6. 根据技术数量和多样性对逃避复杂性进行评分
7. 将检测到的技术映射到 MITRE ATT&CK T1497 子技术

预期输出

JSON 报告，列出检测到的逃避技术及 MITRE ATT&CK 映射、API 调用证据、逃避复杂性评分，以及逃避类别分类（时序、虚拟机检测、用户交互、环境指纹识别）。