anti sandbox

MDS のポップアップウィンドウを利用したアンチサンドボックス(anti-sandbox)回避機能

AhnLab Security Emergency response Center(ASEC)では、サンドボックスを回避するための様々なアンチサンドボックス(anti-sandbox)技法についてモニタリングしている。このブログでは、不正な IcedID Word ドキュメントのボタンフォームを悪用した少々執拗なアンチサンドボックス(anti-sandbox)技法について説明し、不正な振る舞いの発現による当社 MDS 回避機能を紹介する。今回説明する不正な IcedID Word ドキュメント(convert.dot)は、ボタンフォームを悪用したアンチサンドボックス(anti-sandbox)技法が存在し、不正な振る舞いを発現させるためには2段階におよぶユーザーの行動を要求する。[図1]は IceID…