V průběhu let se vývojáři malwaru a experti na kybernetickou bezpečnost ve válce snažili navzájem spojovat. Komunita vývojářů malwaru nedávno nasadila novou detekci úniku strategie: kontrolu rozlišení obrazovky.
Pojďme prozkoumat, proč rozlišení obrazovky záleží na malwaru a co pro vás znamená.
Proč se Malware stará o rozlišení obrazovky
Abychom zjistili, proč se malware stará o rozlišení obrazovky, musíme se podívat na jednoho z jeho nejhorších nepřátel; virtuální stroj Co je virtuální stroj? Vše, co potřebujete vědětVirtuální stroje vám umožňují spouštět na vašem aktuálním počítači další operační systémy. Zde je to, co byste o nich měli vědět. Přečtěte si více .
Virtuální stroje jsou užitečným nástrojem pro výzkumníky virů. Fungují jako „počítač uvnitř počítače“, takže můžete použít jiný operační systém, aniž byste potřebovali nový počítač.
Například, pokud máte počítač se systémem Windows 10, ale chcete používat Linux, můžete v systému Windows 10 nastavit virtuální počítač pro spuštění Linuxu. Bude to fungovat jako počítač se systémem Linux, ale běží v okně ve Windows 10.
Virtuální stroje jsou pro výzkumníky virů velmi užitečné, protože fungují jako past na digitální mušky. Pokud výzkumník věří, že program nebo soubor obsahuje virus, mohou jej otestovat spuštěním ve virtuálním počítači.
Pokud soubor obsahuje virus, začne infikovat virtuální počítač. Protože je virtuální stroj nastaven jako skutečný, virus věří, že infikuje skutečný počítač a ne virtuální počítač. Začne tedy dodávat své užitečné zatížení a poškozovat virtuální počítač. Naštěstí žádné poškození, které virus „nepřenáší“ do hlavního počítače; ovlivní to pouze virtuální.
Jakmile virus rozdá hru pryč, může vědec studovat, jak to funguje, a resetovat virtuální počítač. Poté si vezmou to, co se naučili z virtuálního počítače, a používají jej k vytváření definic virů, které chrání skutečné počítače lidí.
Z tohoto důvodu jsou virtuální stroje blankem vývojářů malwaru. Pokud má někdo podezření, že program obsahuje malware, může jej spustit ve virtuálním počítači a pokud je špatný, může jej vyčistit.
Kam do toho vstupuje rozlišení obrazovky?
S touto metodou testování aplikací existuje jedna chyba. Když výzkumník malwaru vytvoří virtuální stroj, nezajímají se o všechny další funkce. Vše, co potřebují k testování virů, je virtuální počítač, který funguje jako normální počítač - vše ostatní je volitelné.
V důsledku toho vědci někdy nenainstalují hostovací software VM. Tento software umožňuje další funkce, jako je vyšší rozlišení obrazovky, které výzkumník opravdu nepotřebuje. Pokud uživatel nepoužívá hostovací software, VM jej obvykle uzamkne do jednoho ze dvou nízkých rozlišení: 800 × 600 a 1024 × 768.
Tato dvě rozlišení jsou důležitá pro vývojáře malwaru. Moderní počítače a notebooky obvykle nemají obrazovky s tímto rozlišením; je to velmi zastaralé.
Ve skutečnosti můžete vidět, jak je zastaralý Statcounter, která shromažďuje informace o nejpoužívanějších rozlišeních. V době psaní jsou rozlišení obvykle větší nebo menší než výše uvedené příklady VM.
Na jedné straně spektra máte standardní rozlišení 1366 × 768 pro notebooky a 1920 × 1080 pro PC monitory. Na druhé straně najdete malé obrazovky o velikosti 360 × 640 - to jsou chytré telefony.
800 × 600 a 1024 × 768 se vůbec neobjevují. Zadní strana, 768 × 1024, existuje; jedná se o rozlišení iPad. I to však zabírá jen 2,6 procenta, což znamená, že 97,4 procent zařízení používá různá rozlišení.
Jak Malware používá tato data, aby se vyhnul VM
Když se malware objeví v hostitelském počítači a zjistí, že běží na 800 × 600 nebo 1024 × 768, je to buď na velmi zastaralém hardwaru, nebo - s větší pravděpodobností - jsou sledováni v rámci virtuálního stroj.
Pokud virus funguje za těchto podmínek, dá hru pryč přímo pod očima výzkumníka virů. Za účelem ochrany jeho tajemství se malware namísto toho samo ukončí a nepoškodí.
Z pohledu vědce program běžel a neinfikoval PC, takže musí být benigní. Poté mohou programu přiřadit falešně negativní zprávu, která malwaru umožní cestovat ještě dříve, než se konečně zachytí.
Příklady Malware-Check Malware v reálném světě
Trickbot je vynikajícím příkladem této taktiky v přírodě. Výzkumníkům se podařilo proniknout do nedávné série kódu TrickBot a analyzovat, jak to funguje. Jeden uživatel Twitter známý jako Mak (@ maciekkotowicz) našel v TrickBot kus kódu, který skenuje rozlišení 800 × 600 nebo 1024 × 768.
Dnešní #Trickbot nakladače s rozlišením obrazovky #antivm trik, pokud máte rozlišení 800 × 600 nebo 1024 × 768 - jste v bezpečí! ;] cc @VK_Intel@James_inthe_box@ JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30. června 2020
V tomto kusu kódu virus uchopí hodnoty X a Y rozlišení počítače a poté je spojí, aby viděl výsledek. Pokud je výsledek roven 800 × 600 nebo 1024 × 768, kód vrací číslo 0. To říká malwaru, že běží ve virtuálním počítači.
Jakmile malware zjistí, že je ve virtuálním počítači, sám se zničí, aby se vyhnul detekci. V důsledku toho bude kdokoli, kdo vyhledává viry ve virtuálním stroji, považovat jej za bezpečné.
Co pro vás tato taktika znamená
To samozřejmě znamená, že pokud jste použili rozlišení 1024 × 768 nebo 800 × 600, budete mít ochranu před některými kmeny malwaru. Jakmile dorazí, všimnou si vašeho rozhodnutí a budou se sami odpálit dříve, než způsobí jakékoli škody. To, co získáte v ochraně, však ztratíte ve svém duševním zdraví pomocí počítače s tak stísněným rozlišením!
Nejlepším řešením pro boj s tímto novým kmenem malwaru je aktualizace antivirového programu. Nyní, když je tento anti-VM trik veřejnou známostí, je nepravděpodobné, že by špičkové bezpečnostní společnosti byly znovu oklamány.
Je však důležité si uvědomit, že máte tendenci testovat soubory ve vlastních virtuálních strojích. Pokud váš počítač běží na 800 × 600 nebo 1024 × 768, vyplatí se jej nastavit na populárnější rozlišení. Pokud tak neučiníte, nemůžete si být jisti, zda testovaný soubor obsahuje toto preventivní opatření proti VM.
Zůstaňte v bezpečí před záludnými viry
Vzhledem k tomu, že se kybernetická bezpečnost stává obrovským průmyslovým odvětvím, musí se vývojáři malwaru přizpůsobit, aby zůstali o krok napřed. Nové kmeny malwaru se vyhnou zachycení, pokud budou spuštěny v nepřipraveném VM, takže pokud používáte VM k testování virů, nezapomeňte na to.
Nejlepší antivirus je zdravý rozum, tak proč se neučit snadné způsoby, jak nikdy získat virus 10 snadných způsobů, jak nikdy získat virusS trochou základního školení se můžete zcela vyhnout problému virů a malwaru na počítačích a mobilních zařízeních. Nyní se můžete uklidnit a užít si internet! Přečtěte si více ?
Zveřejnění affiliate partnera: Zakoupením produktů, které vám doporučujeme, můžete udržet stránky naživu. Přečtěte si více.
Absolvent bakalářského studia výpočetní techniky s hlubokou vášní pro bezpečnost všech věcí. Poté, co pracoval pro nezávislé herní studio, našel svou vášeň pro psaní a rozhodl se použít svou sadu dovedností k psaní o všech věcech tech.