det0168-virtualizationsandbox-evasion-via-system-checks-across-windows-linux-mac

# DET0168 — Virtualization/Sandbox Evasion via System Checks across Windows, Linux, macOS ## Descrição Esta estratégia detecta técnicas de evasão de virtualização e sandbox que verificam o ambiente antes de executar payload — mapeado em [[T1497 - Virtualization/Sandbox Evasion]]. Adversários realizam checks de hardware (número de CPUs, RAM disponível, presença de disco), artefatos de VM (Registry keys de VMware/VirtualBox, processos de guest tools, DMI strings), e comportamento humano (movimentos de mouse, histórico de arquivos recentes) para identificar ambientes de análise e abortar execução. Os indicadores incluem leituras de Registry em chaves associadas a ferramentas de VM (`HKLM\SOFTWARE\VMware, Inc.`, `HKLM\SOFTWARE\Oracle\VirtualBox Guest Additions`), consultas WMI para `Win32_ComputerSystem` (manufacturer, model), verificações de processos como `vmtoolsd.exe`, `vboxservice.exe`, `sandboxie.exe`, e chamadas de API como `GetSystemInfo`, `GlobalMemoryStatusEx` com thresholds suspeitos. Em Linux, monitorar leitura de `/proc/cpuinfo` para flags de hypervisor e acesso a `/sys/class/dmi/`. A detecção eficaz requer correlacionar múltiplos checks em sequência — um único check de hardware é normal, mas 5+ checks de ambiente em sequência de um processo recém-criado indica malware realizando fingerprinting do ambiente. ## Indicadores de Detecção - Leitura de Registry keys de VM (`VMware Inc.`, `VirtualBox`, `VBOX`) por processo suspeito - Consulta WMI `Win32_ComputerSystem` combinada com verificação de processo count < 50 - Acesso a `/proc/cpuinfo`, `/sys/class/dmi/id/` por script ou binário baixado recentemente - Sequência de múltiplos checks de ambiente em janela de tempo curta (< 30 segundos) - Processo que termina imediatamente após consultas de ambiente sem criar arquivos ou rede ## Técnicas Relacionadas - [[T1497 - Virtualization/Sandbox Evasion]] — técnica principal detectada - [[t1497-virtualization-evasion|T1497.001 - System Checks]] — sub-técnica específica - [[t1497-002-user-activity-based-checks|T1497.002 - User Activity Based Checks]] — variante baseada em comportamento humano - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] — frequentemente combinado para fingerprinting ## Analytics Relacionadas - [[an0478-analytic-0478|AN0478 — Analytic 0478]] - [[an0479-analytic-0479|AN0479 — Analytic 0479]] - [[an0480-analytic-0480|AN0480 — Analytic 0480]] --- *Fonte: [MITRE ATT&CK — DET0168](https://attack.mitre.org/detectionstrategies/DET0168)*