免杀 | 一种新型反微步云沙箱技术

文章预览

编写原因     最近在阅读 一些国内 反沙箱技术文章，很多文章都运用的常见技术，但是效果往往差强人意。常见的技术如下 判断CPU核心数 检测进程数 检测文件夹 检测硬盘数量 检测网络适配器数量 等等 在测试微步云沙箱时，我发现了一种关于时间操作的技术，可以成功阻止微步云沙箱对其应用程序进行行为分析。 获取方式：连同cobaltstrike4.9.1二开版本、免杀插件以及其他发布的工具都放在了内部星球里 。 效果展示 首先使用的老版本arsenal-kit 默认的生成的artifact_x64.exe程序，上传到微步云沙箱，检出率接近1/2， 并且同时微步云沙箱成功检测到程序外联行为，从而把你的公网CobaltStrike服务器IP打上恶意标签 然后在 老版本 arsenal-kit 代码中加入我们基于时间的反沙箱技术，然后将木马上传到微步云沙箱进行分析，检出率仅为1/27，可以看到检出率 ………………………………