Verfasst hat den Beitrag Sila Ozeren Hacioglu, Security Research Engineer bei Picus Security. Der Bericht beschreibt drei Spielarten der Sandbox-Umgehung, die jeweils einer Unterkategorie von MITRE ATT&CK T1497 entsprechen.
Die erste Variante sind Systemprüfungen (T1497.001): Programmgesteuerte Abfragen erfassen Hardware-Inventar, Registry-Schlüssel und Betriebssystemdaten, um echte Ziele von virtualisierten Analysewerkzeugen zu unterscheiden. Die Malware sucht dabei nach verräterischen Artefakten wie Laufwerken mit VM-Herstellernamen (etwa “VBOX” oder “VMWare”), an Hypervisoren gebundenen MAC-Adressen, wenigen CPU-Kernen oder fehlenden Audio- und Videogeräten.
Als Beispiel nennt der Report die Schadsoftware Blitz. Eine Analyse aus diesem Jahr zeigt laut Picus, dass Blitz die Ausführung abbricht, wenn die CPU-Zahl unter vier liegt, wenn die Bildschirmauflösung typischen Sandbox-Standardwerten entspricht (etwa 1024x768, 800x600 oder 640x480) oder wenn bestimmte Treiber-Zeichenketten bekannter Analysewerkzeuge auftauchen, etwa ?\A3E64E55_fl von ANY.RUN. Nur auf einem echten, nutzergesteuerten System wird die Malware aktiv.
Die zweite Variante sind Prüfungen anhand der Nutzeraktivität (T1497.002). Statt zu fragen “Ist das eine VM?”, fragt die Malware nun: “Ist da ein echter Mensch?” Eine Analyse von LummaC2 v4.0 aus diesem Jahr offenbarte eine besonders ausgefeilte Umsetzung, die die Autorin als trigonometriebasierten Turing-Test bezeichnet. Über die Windows-API GetCursorPos() erfasst LummaC2 fünf aufeinanderfolgende Cursorpositionen (P0 bis P4) im Abstand von 50 Millisekunden. Mit der euklidischen Distanz misst die Malware die Länge der Bewegungssegmente, um sprunghaftes “Teleportieren” auszuschließen, und berechnet über das Skalarprodukt den Winkel zwischen aufeinanderfolgenden Vektoren. Liegt die Richtungsänderung unter einem fest einprogrammierten Schwellenwert von 45 Grad und verläuft sie gleichmäßig, gilt die Bewegung als menschlich; scharfe, zu lineare oder zu mechanisch präzise Bewegungen deuten auf gescripteten Input und eine Analyseumgebung hin. Menschliche Mausführung erzeugt selbst beim Versuch einer geraden Linie natürliche Mikrokurven.
Die dritte Variante sind zeitbasierte Prüfungen (T1497.003), die Systemuhr, Laufzeit oder Befehlsausführungsgeschwindigkeit überwachen. Blitz startet dafür zwei parallele Threads: Der Haupt-Thread durchläuft eine CPUID-Instruktionsschleife eine Million Mal, der zweite Thread führt komplexe Gleitkommaberechnungen (fyl2xp1) aus und zählt jeden Erfolg in einer Variablen mit. Aus dem Verhältnis beider berechnet die Malware einen Wert: Auf einer physischen Maschine laufen die Threads flüssig, und der erwartete Wert liegt über 5,0. Unter einem Hypervisor bremst der Aufwand für die abgefangenen CPUID-Aufrufe den zweiten Thread aus, der Wert fällt unter 5,0 — und die Malware beendet sich selbst.
Für die Verteidigung folgert Picus daraus ein grundsätzliches Problem: Prüft Malware Hypervisor-Timing oder Systemartefakte, bevor sie ausführt, sehen klassische Abwehrmechanismen oft nichts. Statische Signaturen greifen nicht, Sandboxen liefern saubere Ergebnisse, und es wird kein Alarm ausgelöst, weil der Schadcode nie ausgeführt wird. Picus empfiehlt daher den Wechsel von der Artefaktanalyse hin zur Validierung gegnerischen Verhaltens mittels Adversarial Exposure Validation (AEV), etwa durch Breach-and-Attack-Simulation und automatisierte Penetrationstests, die reale Angriffstechniken sicher gegen den eigenen Sicherheits-Stack ausführen.
