det0046-detection-strategy-for-t1497-virtualizationsandbox-evasion

# DET0046 — Detection Strategy for T1497 Virtualization/Sandbox Evasion ## Descrição Esta estratégia detecta técnicas usadas por malware para identificar ambientes de análise (sandboxes, VMs, ambientes de debug) e interromper ou alterar sua execução para evasão de detecção. Adversários verificam artefatos de virtualização — como drivers VMware/VirtualBox, registros de hardware virtuais, contagens de CPU/RAM abaixo do esperado — antes de executar sua payload principal. Alinhada a [[t1497-virtualizationsandbox-evasion]], a técnica inclui: leitura de chaves de registro que revelam hypervisores (`HKLM\SOFTWARE\VMware, Inc.`), verificação de processos típicos de análise (`vboxservice.exe`, `vmtoolsd.exe`, `wireshark.exe`), checagem de quantidade de CPUs, espaço em disco, uptime do sistema, e verificação de interação humana (movimento de mouse, cliques). Amostras de RATs brasileiros como [[s0531-grandoreiro]] usam extensivamente esse padrão. A detecção deve identificar processos que realizam múltiplas queries de reconhecimento de ambiente em sequência rápida logo após a execução inicial, especialmente sem interação do usuário. A ausência de comportamento malicioso em ambientes de análise é em si um indicador de evasão bem-sucedida — portanto o foco deve ser na detecção das queries de descoberta, não no payload final. ## Indicadores de Detecção - Acesso em sequência a múltiplas chaves de registro de hypervisor (VMware, VirtualBox, Hyper-V) por um único processo - Enumeração de processos em execução via `CreateToolhelp32Snapshot` logo após inicialização - Chamadas a `GetSystemInfo` ou `GlobalMemoryStatusEx` por processos não-sistema com resultado abaixo de threshold (< 2 CPUs, < 2GB RAM) - Verificação de uptime do sistema via `GetTickCount` com lógica de decisão condicional (sleep evasion) - Acesso a `CPUID` com flag de hypervisor check por código não-compilado por ferramentas conhecidas ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion]] — técnica primária detectada - [[T1497.001-system-checks]] — verificações de hardware e software - [[T1497.002-user-activity-based-checks]] — verificação de interação humana - [[T1497.003-time-based-evasion]] — sleep para escapar de análise temporizada - [[t1614-system-location-discovery|T1614-system-location-discovery]] — frequentemente combinada para filtragem geográfica ## Analytics Relacionadas - [[an0127-analytic-0127|AN0127 — Analytic 0127]] - [[an0128-analytic-0128|AN0128 — Analytic 0128]] - [[an0129-analytic-0129|AN0129 — Analytic 0129]] --- *Fonte: [MITRE ATT&CK — DET0046](https://attack.mitre.org/detectionstrategies/DET0046)*