Przez lata twórcy złośliwego oprogramowania i eksperci od cyberbezpieczeństwa toczyli wojnę, próbując się ze sobą połączyć. Niedawno społeczność twórców złośliwego oprogramowania wdrożyła nową strategię unikania wykrywania: sprawdzanie rozdzielczości ekranu.
Zobaczmy, dlaczego rozdzielczość ekranu ma znaczenie dla złośliwego oprogramowania i co to oznacza dla Ciebie.
Dlaczego złośliwe oprogramowanie dba o rozdzielczość ekranu
Aby dowiedzieć się, dlaczego złośliwe oprogramowanie dba o rozdzielczość ekranu, musimy przyjrzeć się jednemu z jego najgorszych wrogów; the maszyna wirtualna Co to jest maszyna wirtualna? Wszystko co musisz wiedziećMaszyny wirtualne umożliwiają uruchamianie innych systemów operacyjnych na aktualnym komputerze. Oto, co powinieneś o nich wiedzieć. Czytaj więcej .
Maszyny wirtualne to przydatne narzędzie dla badaczy wirusów. Działają jak „komputer wewnątrz komputera”, więc możesz używać innego systemu operacyjnego bez konieczności posiadania nowego komputera.
Na przykład, jeśli masz komputer z systemem Windows 10, ale chcesz korzystać z systemu Linux, możesz skonfigurować maszynę wirtualną w systemie Windows 10, aby uruchomić system Linux. Będzie działać jak komputer z systemem Linux, ale działa w oknie w systemie Windows 10.
Maszyny wirtualne są bardzo przydatne dla badaczy wirusów, ponieważ działają jak cyfrowa pułapka na muchy wenus. Jeśli badacz uważa, że program lub plik zawiera wirusa, może go przetestować, uruchamiając go na maszynie wirtualnej.
Jeśli plik zawiera wirusa, rozpocznie infekowanie maszyny wirtualnej. Ponieważ maszyna wirtualna jest skonfigurowana jak prawdziwa, wirus uważa, że infekuje prawdziwy komputer, a nie wirtualny. W związku z tym zaczyna dostarczać swój ładunek i uszkadzać maszynę wirtualną. Na szczęście żadna ze szkód, które wirus nie „przenosi” na główny komputer; wpływa tylko na wirtualną.
Gdy wirus odda grę, badacz może zbadać, jak to działa, a następnie zresetować maszynę wirtualną. Następnie biorą to, czego nauczyli się z maszyny wirtualnej i używają jej do tworzenia definicji wirusów, aby chronić prawdziwe komputery ludzi.
Z tego powodu maszyny wirtualne są zmorą twórców złośliwego oprogramowania. Jeśli ktoś podejrzewa, że program zawiera złośliwe oprogramowanie, może go uruchomić na maszynie wirtualnej i usunąć, jeśli jest zły.
Skąd się bierze rozdzielczość ekranu?
Ta metoda testowania aplikacji ma jedną wadę. Kiedy badacz złośliwego oprogramowania tworzy maszynę wirtualną, nie interesują go wszystkie dodatkowe funkcje. Wszystko, czego potrzebują do testowania pod kątem wirusów, to maszyna wirtualna, która działa jak normalny komputer - wszystko inne jest opcjonalne.
W rezultacie badacze czasami nie instalują oprogramowania gościa maszyny wirtualnej. To oprogramowanie zapewnia dodatkowe funkcje, takie jak wyższe rozdzielczości ekranu, których badacz tak naprawdę nie potrzebuje. Jeśli użytkownik nie korzysta z oprogramowania gościa, maszyna wirtualna zazwyczaj blokuje użytkownika w jednej z dwóch niskich rozdzielczości: 800 × 600 i 1024 × 768.
Te dwie rozdzielczości są ważne dla twórców złośliwego oprogramowania. Współczesne komputery i laptopy zazwyczaj nie są wyposażone w ekrany o tej rozdzielczości; jest bardzo przestarzały.
W rzeczywistości możesz zobaczyć, jak jest przestarzały Statcounter, który zbiera informacje o najczęściej używanych rozdzielczościach. W chwili pisania tego tekstu rozdzielczości są zwykle większe lub mniejsze niż powyższe przykłady maszyn wirtualnych.
Po jednej stronie spektrum mamy standardową rozdzielczość 1366 × 768 dla laptopów i 1920 × 1080 dla monitorów PC. Po drugiej stronie znajdują się w użyciu maleńkie ekrany 360 × 640 - to smartfony.
800 × 600 i 1024 × 768 w ogóle się nie pojawiają. Odwrotność tego ostatniego, 768 × 1024, istnieje; to jest rozdzielczość iPada. Jednak nawet to zajmuje tylko 2,6 procent, co oznacza, że 97,4 procent urządzeń używa różnych rozdzielczości.
Jak złośliwe oprogramowanie wykorzystuje te dane do unikania maszyn wirtualnych
W związku z tym, gdy złośliwe oprogramowanie wyląduje na komputerze hosta i zauważy, że działa w rozdzielczości 800 × 600 lub 1024 × 768, albo na bardzo przestarzałym sprzęcie, albo - co bardziej prawdopodobne - jest oglądane w wirtualnym maszyna.
Jeśli wirus działa w tych warunkach, odda grę na oczach badacza wirusów. W związku z tym, aby chronić swoje sekrety, złośliwe oprogramowanie samo się wyłącza i nie powoduje żadnych szkód.
Z punktu widzenia badacza program działał i nie infekował komputera, więc musi być łagodny. Mogą następnie przypisać programowi fałszywie negatywny raport, umożliwiając złośliwemu oprogramowaniu podróż dalej, zanim zostanie ostatecznie złapany.
Przykłady złośliwego oprogramowania sprawdzającego rozdzielczość w prawdziwym świecie
Trickbot jest doskonałym przykładem takiej taktyki na wolności. Naukowcom udało się włamać do najnowszego szczepu kodu TrickBota i przeanalizować, jak on działa. Jeden użytkownik Twittera znany jako Mak (@maciekkotowicz) znalazł fragment kodu w TrickBocie, który skanuje w poszukiwaniu rozdzielczości 800 × 600 lub 1024 × 768.
Dzisiaj #Trickbot ładowarki z rozdzielczością ekranu #antivm sztuczka, jeśli masz rozdzielczość 800 × 600 lub 1024 × 768 - jesteś bezpieczny! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30 czerwca 2020 r
W tym fragmencie kodu wirus pobiera wartości X i Y rozdzielczości komputera, a następnie łączy je, aby zobaczyć wynik. Jeśli wynik jest równy 800 × 600 lub 1024 × 768, kod zwraca liczbę 0. Informuje to złośliwe oprogramowanie, że działa na maszynie wirtualnej.
Gdy złośliwe oprogramowanie wie, że znajduje się w maszynie wirtualnej, ulega samozniszczeniu, aby uniknąć wykrycia. W rezultacie każdy, kto szuka wirusów na maszynie wirtualnej, nieprawidłowo uzna ją za bezpieczną.
Co ta taktyka oznacza dla Ciebie
Oczywiście oznacza to, że jeśli użyłeś rozdzielczości 1024 × 768 lub 800 × 600, będziesz mieć ochronę przed niektórymi szczepami złośliwego oprogramowania. Gdy tylko się pojawią, zauważą twoją rozdzielczość i zdetonują się, zanim wyrządzą jakiekolwiek szkody. Jednak to, co zyskujesz dzięki ochronie, stracisz zdrowie psychiczne, używając komputera o tak ograniczonej rozdzielczości!
W związku z tym najlepszym sposobem na walkę z tym nowym szczepem złośliwego oprogramowania jest aktualizacja programu antywirusowego. Teraz, gdy ta sztuczka przeciwko maszynom wirtualnym jest znana publicznie, jest mało prawdopodobne, aby firmy zajmujące się bezpieczeństwem z wyższej półki ponownie dały się oszukać.
Należy jednak o tym pamiętać, jeśli masz tendencję do testowania plików na własnych maszynach wirtualnych. Jeśli Twoja maszyna wirtualna działa w rozdzielczości 800 × 600 lub 1024 × 768, warto ustawić ją na bardziej popularną rozdzielczość. Jeśli tego nie zrobisz, nie możesz mieć pewności, czy testowany plik ma zainstalowane to zabezpieczenie przed maszynami wirtualnymi.
Ochrona przed podstępnymi wirusami
Ponieważ cyberbezpieczeństwo staje się ogromną branżą, twórcy złośliwego oprogramowania muszą się dostosować, aby być o krok do przodu. Nowe odmiany złośliwego oprogramowania unikną przechwytywania, jeśli zostaną uruchomione na nieprzygotowanej maszynie wirtualnej, więc jeśli używasz maszyn wirtualnych do testowania wirusów, pamiętaj o tym.
Najlepszym programem antywirusowym jest zdrowy rozsądek, więc dlaczego nie nauczyć się łatwe sposoby na uniknięcie wirusa 10 łatwych sposobów, aby nigdy nie złapać wirusaDzięki odrobinie podstawowego szkolenia możesz całkowicie uniknąć problemu wirusów i złośliwego oprogramowania na komputerach i urządzeniach mobilnych. Teraz możesz się uspokoić i cieszyć się internetem! Czytaj więcej ?
Ujawnienie partnera: Kupując polecane przez nas produkty, pomagasz utrzymać witrynę przy życiu. Czytaj więcej.
Absolwent informatyki z głęboką pasją do wszystkiego, co związane z bezpieczeństwem. Po pracy w niezależnym studiu gier odnalazł swoją pasję do pisania i postanowił wykorzystać swoje umiejętności do pisania o wszystkim, co dotyczy technologii.
