Sommaire

Autres techniques

1. Anti-VM Anti-VM

Une technique de plus en plus utilisée est la détection de machine virtuelle. Étant donné que les analystes travaillent énormément dans des machines virtuelles, les développeurs de malwares tentent de les identifier afin de stopper l’exécution du binaire et donc d’empêcher les analyses via des outils tels que les sandboxes. Il existe une multitude de manières de contrôler si un binaire est exécuté sur une machine virtuelle : le malware peut contrôler le matériel, les drivers, si du logiciel additionnel a été installé pour contrôler la machine virtuelle... C’est pour cette raison qu’il est important de configurer la machine virtuelle comme cela a été décrit dans le chapitre précédent.

En plus de faire un contrôle, certains malwares peuvent utiliser des bugs au niveau de l’outil de virtualisation. C’est le cas de VirtualBox et de la vulnérabilité CVE-2012-3221 découverte en novembre 2011. Un bug a été trouvé sur cet outil de virtualisation : dans le cas où une machine virtuelle exécutait une interruption 0x8, celle-ci crashait. Les malwares pouvaient donc facilement faire crasher la machine servant à l’analyse en ajoutant le code suivant :

int crash() { 
 asm (  
   "int $0x8;" 
   : // output: none 
   : ...