采用黑白名单匹配进行反沙箱

admin
admin
admin
0
文章
0
评论
2026-01-28 06:49:22 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档介绍利用公网出口IP进行反沙箱检测,以解决传统环境特征检测的不稳定性。通过获取外网IP并与已知云沙箱出口IP段比对,代码可识别沙箱环境并退出。测试证实该方案能有效绕过微步、360等主流沙箱,为红队对抗提供了简单实用的反沙箱技术思路。 综合评分: 81 文章分类: 红队,免杀,恶意软件,实战经验

cover_image

采用黑白名单匹配进行反沙箱

原创

陆安予 陆安予

白帽子安全笔记2.0

2026年1月27日 18:57 江苏

使用一种公网出口IP判断进行反沙箱。

一、背景

传统反沙箱方法存在缺陷,例如检测核心、内存大小、进程、文件数量等。毫无疑问,环境都是可变的,阈值难以控制。

att&ck沙箱规避[1]列出了全球几十种案例,分为3类:系统检查、基于用户活动的检查、基于时间的检查。

不如换个思维,企业在部署云沙箱的时候,通常会划分一个单独的网段,使用单独的公网IP。

利用这一不变原则,我们将沙箱出口IP(段)全部纳入清单。像防火墙一样,采用严格的黑白名单机制。

二、技术实现

我们写vbs实现获取内网IP: ip.vbs

Set w=GetObject("winmgmts:\\.\root\cimv2")
ips=""
For Each a In w.ExecQuery("Select * From Win32_NetworkAdapterConfiguration Where IPEnabled=True")
    For Each ip In a.IPAddress
        If InStr(ip,".")>0 Then
            If ips="" Then ips=ip Else ips=ips & vbCrLf & ip
        End If
    Next
Next
WScript.Echo ips

沙箱返回我们的内网IP是100.64.8.1/24段,有的沙箱是172.16.1.1/24

因此使用公网IP判断则更为合适: publicip.vbs

Option Explicit
Dim xmlHttp
Set xmlHttp = CreateObject("MSXML2.ServerXMLHTTP")
xmlHttp.Open "GET", "https://icanhazip.com", False
xmlHttp.Send
MsgBox xmlHttp.ResponseText

最终,经过对多个云沙箱进行公网分析:

| 序号 | 沙箱 | 公网IP | | — | — | — | | 1 | 微步沙箱[2] | 106.75.7.190 | | 2 | 360云沙箱[3] | 1.192.193.204 | | 3 | 奇安信沙箱[4] | 不联网 | | 4 | 天穹沙箱[5] | 36.112.17.98 |

三、设计流程

获取公网IP公网IP获取失败?是否沙箱.退出解析公网IP是公网IP是106.75.7.X?沙箱.退出是公网IP是1.192.193.X?沙箱.退出是公网IP是36.112.17.X?都不是沙箱.退出继续执行

四、测试结论

以测试程序为例,检测到沙箱则退出,否则弹HelloWorld,几个沙箱均未执行到我们的代码,证明该方案简单有效:

微步沙箱

360沙箱云

奇安信沙箱

天穹沙箱

网络安全 #红队训练

五、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途,使用者须确保符合《网络安全法》及相关法规。具体条款如下:

  • • 仅可用于已获得书面授权的目标系统测试;
  • • 遵守法律法规,不得用于侵犯他人隐私或数据窃取;

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。

推荐阅读

  • • [版本更新]Cobalt Strike基础部署手册&高级白加黑&高级lnk快捷方式新技术
  • • [0day]新挖掘到一套高级LNK快捷方式
  • • 高级LNK快捷方式自动维持权限与进程注入
  • • DLL侧载和DLL代理
  • • [版本更新]高级lnk快捷方式武器化GUI
  • • 大幅更新-高级lnk快捷方式新技术
  • • 完全无法检测的cobaltstrike更新
  • • [工具发布]幻影加载器GUI,高级堆栈欺骗
  • • [工具发布]高级lnk快捷方式武器化GUI
  • • AV终结者结束进程
  • • LNK快捷方式的检测与突破
  • • 红队加载器过主流杀软-混淆最终版
  • • 红队有效载荷加载器
  • • 10行代码即可免杀全球绝大多数杀毒软件
  • • Cobaltstrike4.9.1平台高级匿名技术手册
  • • Cobaltstrike4.9.1平台基础部署手册
  • • 全网唯一,高级LNK快捷方式新技术发布
  • • 顶级武器-完全无法检测的cobalt strike

引用链接

[1] ++沙箱规避++: https://attack.mitre.org/techniques/T1497/ [2] 微步沙箱: https://s.threatbook.com/ [3] 360云沙箱: https://ata.360.net/detect [4] 奇安信沙箱: https://sandbox.ti.qianxin.com/sandbox/page [5] 天穹沙箱: https://sandbox.qianxin.com/sscc-tq-web/tq-sandbox

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:白帽子安全笔记2.0 陆安予 陆安予《采用黑白名单匹配进行反沙箱》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0