Penyelidik keselamatan telah menemui bit tertentu (Trap Flag) dalam daftar CPU Intel yang boleh disalahgunakan malware untuk mengelakkan pengesanan kotak pasir.
Menurut penyelidik kumpulan penyelidikan ancaman Unit 42 Palo Alto Networks, malware dapat mengesan sama ada ia dijalankan dalam mesin fizikal atau maya (VM) dengan memantau tindak balas CPU setelah menetapkan bit tunggal ini.
Perisian hasad biasanya mengelakkan pengesanan dengan memeriksa apakah ia dijalankan dalam lingkungan "kotak pasir" yang diatur untuk menganalisis potensi malware dengan selamat. Apabila malware mengetahui bahawa ia dijalankan di mesin maya, ia akan menghentikan pelaksanaannya atau memberikan output palsu untuk menyembunyikan niat sebenarnya.
Dalam contoh ini, untuk mengesan penggunaan VM di kotak pasir, malware dapat memeriksa perilaku CPU setelah mengaktifkan bendera perangkap. Ini adalah bit kelapan tunggal dalam daftar EFLAGs senibina CPU Intel x86.
Sekiranya bendera perangkap diaktifkan sebelum satu arahan dijalankan, CPU akan meningkatkan pengecualian (mod satu langkah) setelah instruksi selesai. Pengecualian ini menghentikan pelaksanaan CPU untuk membolehkan pengendali pengecualian memeriksa kandungan daftar dan lokasi memori. Sebelum membiarkan pelaksanaan kod berterusan, CPU juga mesti membersihkan bendera perangkap.
"Untuk menentukan apakah VM digunakan, malware dapat memeriksa apakah pengecualian satu langkah dikirimkan ke instruksi CPU yang benar, setelah menjalankan petunjuk khusus (mis. CPUID, RDTSC, IN) yang menyebabkan VM keluar dengan TF diaktifkan. Semasa keluar VM, hypervisor - juga dikenal sebagai Virtual Machine Monitor (VMM) - akan meniru kesan CPU fizikal yang ditemuinya, ”kata para penyelidik.
Para penyelidik juga mengatakan terdapat permainan kucing-dan-tikus yang sedang berlangsung antara pengarang perisian jahat yang membuat teknik pengelakan untuk mengelakkan analisis yang berkesan dan penulis kotak pasir meneliti cara-cara baru untuk mengalahkan penghindaran tersebut.
Ini adalah salah satu pemacu utama yang mendorong kami di Palo Alto Networks untuk membina hypervisor tersuai kami sendiri untuk analisis perisian hasad. Oleh kerana kami mempunyai kawalan penuh ke atas tumpukan perisian, termasuk lapisan virtualisasi, kami dapat bertindak balas terhadap ancaman baru dan baru muncul, ”kata para penyelidik.
Dalam kes ini, setelah kami mengenal pasti masalah dengan peniruan bendera perangkap yang tidak betul, pasukan penyelia kami dapat menguji dan menerapkan perbaikan. "
Sejak itu para penyelidik dapat menyelesaikan masalah pengelakan ini untuk sampel malware dengan menggunakan teknik ini.
