仮想マシン回避とは【用語集詳細】
仮想マシン回避(VM Evasion)は、マルウェアがセキュリティ・リサーチャー等による解析を回避するために仮想マシン環境を検知する技術です。この技術はアンチVM(Anti-VM)とも称されます。
通常マルウェア解析は仮想マシン環境において行われるため、マルウェア開発者はプログラムの挙動やコードを解明されることを阻止するため、様々な機構を組み込みます。
マルウェアが仮想マシン環境を検知した場合、プログラムは挙動の変化や挙動の停止等により解析を妨害します。
代表的な回避策は以下のとおりです。
- VMフィンガープリンティング…シリアルナンバー等既知の文字列をチェック
- CPUIDチェック…CPUベンダーをチェック ・ハイパーバイザー固有の命令を実行
- IDT(Interrupt descriptor table)のアドレス(CPUの割り込み処理に用いられるデータ構造。仮想マシンと物理マシンとで値が異なる)をチェック
- セキュリティツールの有無をチェック
- ユーザーアクティビティのチェック
- 大量のログ生成によるログ解析拒否
