マルウェア解析のためのサンドボックスの実現手法としては,Xenなどのハードウェア仮想化技術やQEMUなどのエミュレーション技術が知られています.

マルウェアの多くはこうしたサンドボックスを検出しようとする(evasive malware)ため,マルウェアから検出されにくいtransparentなサンドボックスが望まれています. しかし,RDTSCやICMP timestampをはじめとするtiming attackの存在から,これは不可能であると言われています.

では,ハードウェア仮想化技術と,エミュレーション技術のどちらがtransparentなサンドボックスに近いのでしょうか.

Christopher Kruegel氏はtransparencyの観点から,Intel VTなどのハードウェア仮想化技術によるサンドボックスを批判しました. 氏が手がけるLastlineはエミュレーション(QEMU)によるサンドボックスですが,transparencyを問題とするならQEMUも同様です(これは,氏のポジショントークであるように思えます).

そもそも,VMware製品やOpenStackが広く利用されている昨今において,プログラムが仮想マシン上で動作しているからといって,それがマルウェア解析環境であると決めつけるのは早計です.

そこで,in-the-wildなマルウェアが仮想化技術やエミュレーション技術を解析環境検出の手段とする割合について書かれた文献を探しています.
「データセットのうち,Ether(Xen)を検出する検体は何%, TEMU(QEMU)を検出する検体は何%で,このうち何%には解析環境を検出するためのライブラリが用いられていた」「何々という検体はバックドアポートからVMware Playerを検出するが,これだけでは解析環境であると判断せず,IsDebuggerPresentと併用する」といった内容だと嬉しいです.