仮想マシンのランサムウェア。セキュリティ対策をテストするためのLockyの実行
ランサムウェアLockyのバイナリがいくつかあります。ファイルがどのように暗号化されるかを確認するために、Sambaなどの複数のストレージが接続されている仮想マシンでそれを実行しようとしました。
基本的に、それは開始し、そのプロセスを生成し、明確な理由なしに終了します。何も起こりません。
何がそのような行動を引き起こす可能性がありますか?
最新のマルウェアの多くのインスタンスはVMに対応しており、そのような検査をより困難にします。マルウェアは、VM内で実行されているかどうかを最初の関数の1つとして検出し、それが当てはまる場合は単に終了します。これは、残りのペイロードが実行される前に行われます。フォレンジック審査官にできるだけ公開しないために復号化されます。
私は特にLockyについては知りませんが、Lockyの作者がこの非常に一般的な戦術を使用していたとしても、驚くにはあたらないでしょう。
この現象の概要については、こちらをご覧ください: https://blog.malwarebytes.org/intelligence/2014/02/a-look-at-malware-with-virtual-machine-detection/