Evading and crashing anti-malware solutions via data collection overloading during analysis serialization

Abstract

Anti-malware systems rely on sandboxes, hooks, and telemetry pipelines like collection agents, serializers, and database backends, to monitor program and system behavior. We show that these data-handling components constitute an exploitable attack surface that can lead to denial-of-analysis (DoA) states without disabling sensors or requiring elevated privileges. We present Telemetry Complexity Attacks (TCAs), a new class of vulnerabilities that exploit mismatches between unbounded collection mechanisms and bounded processing capabilities. Our method recursively spawns child processes to generate deeply nested and oversized objects that stress serialization and storage boundaries, as well as visualization layers, e.g., JSON/BSON depth and size limits. Depending on the product, this leads to truncated or missing behavioral reports, rejected database inserts, serializer recursion and size errors, and unresponsive dashboards, with some cases also exhibiting normal malicious execution that was not recorded or presented to analysts. We evaluate our technique against 13 commercial and open-source malware analysis platforms and endpoint detection and response (EDR) solutions. Seven products fail at different stages of the telemetry pipeline; three CVE identifiers have been assigned (CVE-2025-61301, CVE-2025-61303, and CVE-2025-67221); one more is pending; and others have issued patches or configuration changes. We discuss root causes and propose mitigation strategies to prevent DoA attacks triggered by adversarial telemetry.Τα συστήματα ανίχνευσης κακόβουλου λογισμικού βασίζονται σε sandboxes, μηχανισμούς hooks και αγωγούς τηλεμετρίας, όπως πράκτορες συλλογής, μηχανισμούς σειριοποίησης και βάσεις δεδομένων υποστήριξης, για την παρακολούθηση της συμπεριφοράς προγραμμάτων και συστημάτων. Δείχνουμε ότι αυτά τα υποσυστήματα διαχείρισης δεδομένων συνιστούν μια εκμεταλλεύσιμη επιφάνεια επίθεσης, η οποία μπορεί να οδηγήσει σε καταστάσεις άρνησης ανάλυσης (Denial-of-Analysis, DoA), χωρίς απενεργοποίηση αισθητήρων ή απαίτηση αυξημένων προνομίων. Παρουσιάζουμε τις Επιθέσεις Πολυπλοκότητας Τηλεμετρίας (Telemetry Complexity Attacks, TCAs), μια νέα κατηγορία ευπαθειών που εκμεταλλεύεται ασυμφωνίες μεταξύ μη περιορισμένων μηχανισμών συλλογής και περιορισμένων δυνατοτήτων επεξεργασίας. Η μέθοδός μας δημιουργεί αναδρομικά διεργασίες, ώστε να παραχθούν βαθιά εμφωλευμένα και αντικείμενα υπερβολικού μεγέθους που επιβαρύνουν τα όρια της σειριοποίησης και της αποθήκευσης, καθώς και τα επίπεδα οπτικοποίησης, όπως τα όρια βάθους και μεγέθους σε JSON/BSON. Ανάλογα με το προϊόν, αυτό οδηγεί σε περικομμένες ή ελλιπείς αναφορές συμπεριφοράς, απορριφθείσες εισαγωγές στη βάση δεδομένων, σφάλματα αναδρομής και μεγέθους στους μηχανισμούς σειριοποίησης, καθώς και σε μη αποκρινόμενες διεπαφές οπτικοποίησης αποτελεσμάτων , ενώ σε ορισμένες περιπτώσεις παρατηρείται και κανονική εκτέλεση κακόβουλου λογισμικού που δεν καταγράφεται ούτε παρουσιάζεται στους αναλυτές. Αξιολογούμε την τεχνική μας σε 13 εμπορικές και ανοικτού κώδικα πλατφόρμες ανάλυσης κακόβουλου λογισμικού και λύσεις Endpoint Detection and Response (EDR). Επτά προϊόντα αποτυγχάνουν σε διαφορετικά στάδια του αγωγού τηλεμετρίας· έχουν εκχωρηθεί τρεις αναγνωριστικοί αριθμοί CVE (CVE-2025-61301, CVE-2025-61303 και CVE-2025-67221), ένας ακόμη εκκρεμεί, ενώ άλλα προϊόντα έχουν εκδώσει διορθώσεις ή αλλαγές ρυθμίσεων. Τέλος, συζητούμε τα βαθύτερα αίτια και προτείνουμε στρατηγικές μετριασμού για την αποτροπή επιθέσεων DoA που προκαλούνται από τηλεμετρία κακόβουλης προέλευσης.