环境密钥

攻击者可能通过环境密钥来约束恶意软件的执行或功能，以逃避防御并将执行限制在特定的目标环境中。环境密钥使用加密技术来约束执行或操作，基于攻击者提供的特定环境条件，这些条件预计会出现在目标环境中。环境密钥是执行护栏的一种实现，利用加密技术从给定计算环境中的特定类型的值派生加密/解密密钥。(Citation: EK Clueless Agents) 可以从目标特定的元素派生值，并用于生成解密密钥以解密加密的负载。目标特定的值可以从特定的网络共享、物理设备、软件/软件版本、文件、加入的AD域、系统时间以及本地/外部IP地址派生。(Citation: Kaspersky Gauss Whitepaper)(Citation: Proofpoint Router Malvertising)(Citation: EK Impeding Malware Analysis)(Citation: Environmental Keyed HTA)(Citation: Ebowla: Genetic Malware) 通过从目标特定的环境值生成解密密钥，环境密钥可以使沙箱检测、反病毒检测、信息众包和逆向工程变得困难。(Citation: Kaspersky Gauss Whitepaper)(Citation: Ebowla: Genetic Malware) 这些困难可能会减慢事件响应过程，并帮助攻击者隐藏其战术、技术和程序（TTP）。 类似于混淆文件或信息，攻击者可能使用环境密钥来保护其TTP并逃避检测。环境密钥可用于向目标传递加密负载，该负载将使用目标特定的值在执行前解密负载。(Citation: Kaspersky Gauss Whitepaper)(Citation: EK Impeding Malware Analysis)(Citation: Environmental Keyed HTA)(Citation: Ebowla: Genetic Malware)(Citation: Demiguise Guardrail Router Logo) 通过利用目标特定的值来解密负载，攻击者可以避免将解密密钥与负载打包或通过可能受监控的网络连接发送。根据收集目标特定值的技术，加密负载的逆向工程可能异常困难。(Citation: Kaspersky Gauss Whitepaper) 这可以用于防止在不打算被入侵或操作的环境中暴露能力。 与其他执行护栏一样，环境密钥可用于防止在不打算被入侵或操作的环境中暴露能力。此活动与典型的虚拟化/沙箱逃避不同。虽然使用虚拟化/沙箱逃避可能涉及检查已知的沙箱值并在没有匹配的情况下继续执行，但使用环境密钥将涉及检查预期的目标特定值，该值必须匹配才能成功解密并随后执行。