V priebehu rokov sa vývojári škodlivého softvéru a odborníci na kybernetickú bezpečnosť vo vojne snažili vzájomne vzájomne spájať. Komunita vývojárov škodlivého softvéru nedávno nasadila novú stratégiu, ktorá sa vyhýba detekcii: kontrola rozlíšenia obrazovky.
Pozrime sa, prečo záleží rozlíšenie obrazovky od škodlivého softvéru a čo pre vás znamená.
Prečo sa škodlivý softvér stará o rozlíšenie obrazovky
Aby sme zistili, prečo sa malware stará o rozlíšenie obrazovky, musíme sa pozrieť na jedného z jeho najhorších nepriateľov; virtuálny prístroj Čo je to virtuálny počítač? Všetko, čo potrebujete vedieťVirtuálne stroje vám umožňujú spúšťať na aktuálnom počítači ďalšie operačné systémy. Tu by ste o nich mali vedieť. Čítaj viac .
Virtuálne stroje sú užitočným nástrojom pre výskumníkov vírusov. Fungujú ako „počítač vnútri počítača“, takže môžete používať iný operačný systém bez potreby nového počítača.
Napríklad, ak máte počítač so systémom Windows 10, ale chcete používať systém Linux, môžete v systéme Windows 10 nastaviť virtuálny stroj na spustenie systému Linux. Bude fungovať rovnako ako počítač so systémom Linux, ale beží v okne v systéme Windows 10.
Virtuálne stroje sú pre výskumníkov vírusov veľmi užitočné, pretože fungujú ako pasca na chytanie mušlí v digitálnej oblasti. Ak výskumník verí, že program alebo súbor obsahuje vírus, môžu ho otestovať spustením vo virtuálnom počítači.
Ak súbor obsahuje vírus, začne infikovať virtuálny počítač. Pretože je virtuálny počítač nastavený ako skutočný, vírus verí, že infikuje skutočný počítač a nie virtuálny počítač. Z tohto dôvodu začne prenášať svoje užitočné zaťaženie a poškodzuje virtuálny stroj. Našťastie žiadne poškodenie vírusom „neprenáša“ do hlavného počítača; má to vplyv iba na virtuálny.
Akonáhle vírus dá hru preč, výskumný pracovník môže študovať, ako to funguje, a potom resetovať virtuálny počítač. Potom vezmú, čo sa naučili z virtuálneho počítača a použijú ho na vytvorenie definícií vírusov na ochranu skutočných počítačov ľudí.
Z tohto dôvodu sú virtuálne stroje pre vývojárov škodlivého softvéru prekážkou. Ak má niekto podozrenie, že program obsahuje malware, môže ho spustiť vo virtuálnom počítači a ak je to zlé, môže ho z neho odstrániť.
Kde sa do toho dostane rozlíšenie obrazovky?
Pri tomto spôsobe testovania aplikácií existuje jedna chyba. Keď výskumník škodlivého softvéru vytvorí virtuálny stroj, nezaujímajú ho o všetky ďalšie funkcie. Všetko, čo potrebujú na testovanie vírusov, je virtuálny počítač, ktorý funguje ako normálny počítač - všetko ostatné je voliteľné.
Výsledkom je, že vedci niekedy neinštalujú softvér hosťa spoločnosti VM. Tento softvér umožňuje ďalšie funkcie, ako napríklad vyššie rozlíšenie obrazovky, ktoré výskumný pracovník skutočne nepotrebuje. Ak používateľ nepoužije softvér hosťa, VM ho zvyčajne uzamkne v jednom z dvoch nízkych rozlíšení: 800 × 600 a 1024 × 768.
Tieto dve rozlíšenia sú dôležité pre vývojárov škodlivého softvéru. Moderné počítače a prenosné počítače zvyčajne neprichádzajú s obrazovkami v takom rozlíšení; je to veľmi zastarané.
V skutočnosti môžete vidieť, ako je zastaraná StatCounter, ktorá zbiera informácie o najpoužívanejších rozlíšeniach. V čase písania týchto návrhov majú rozlíšenia tendenciu byť väčšie alebo menšie ako vyššie uvedené príklady VM.
Na jednej strane spektra máte štandardné rozlíšenie 1366 × 768 pre notebooky a 1920 × 1080 pre PC monitory. Na druhej strane nájdete malé obrazovky s rozmermi 360 × 640 - to sú chytré telefóny.
800 × 600 a 1024 × 768 sa vôbec nezobrazujú. Zadná strana, 768 × 1024, existuje; toto je rozlíšenie iPad. Aj to však zaberá iba 2,6 percenta, čo znamená, že 97,4 percent zariadení používa rôzne rozlíšenia.
Ako Malware používa tieto údaje na zabránenie virtuálnym počítačom
Keď sa malware dostane na hostiteľský počítač a zistí, že beží na 800 × 600 alebo 1024 × 768, je to buď na veľmi zastaranom hardvéri, alebo - s väčšou pravdepodobnosťou - sú sledované vo virtuálnom počítači stroj.
Ak vírus funguje za týchto podmienok, dá hru priamo do očí výskumníka vírusov. Z dôvodu ochrany svojich tajomstiev sa malware namiesto toho samo ukončí a nepoškodí sa.
Z pohľadu výskumného pracovníka program bežal a neinfikoval počítač, takže musí byť neškodný. Potom môžu programu priradiť falošne negatívnu správu, ktorá malwaru umožní cestovať ďalej, než sa nakoniec zachytí.
Príklady malwaru na kontrolu rozlíšenia v reálnom svete
Trickbot je vynikajúcim príkladom tejto taktiky v prírode. Výskumníkom sa podarilo preniknúť do nedávnej série kódu TrickBot a analyzovať, ako to funguje. Jeden užívateľ Twitter známy ako Mak (@ maciekkotowicz) našiel v TrickBot kus kódu, ktorý skenuje rozlíšenie 800 × 600 alebo 1024 × 768.
Dnešné #Trickbot nakladače s rozlíšením obrazovky #antivm trik, ak máte rozlíšenie 800 × 600 alebo 1024 × 768 - ste v bezpečí! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30. júna 2020
V tomto bloku kódu vírus zachytí hodnoty X a Y rozlíšenia počítača a potom ich skombinuje, aby zistil výsledok. Ak je výsledok rovný 800 × 600 alebo 1024 × 768, kód vráti číslo 0. To hovorí malwaru, že beží vo virtuálnom počítači.
Keď malware zistí, že sa nachádza vo virtuálnom počítači, sám sa zničí, aby sa predišlo detekcii. Výsledkom bude, že ktokoľvek, kto vyhľadáva vírusy vo virtuálnom počítači, to bude považovať za bezpečné.
Čo pre vás táto taktika znamená
To samozrejme znamená, že ak ste použili rozlíšenie 1024 × 768 alebo 800 × 600, budete mať ochranu pred niektorými kmeňmi škodlivého softvéru. Hneď ako dorazia, všimnú si vaše rozlíšenie a samodiagnostiku skôr, ako spôsobia akúkoľvek škodu. To, čo získate v ochrane, však stratíte v zdravom rozume používaním počítača s takým stiesneným rozlíšením!
Najlepším riešením pre boj s týmto novým kmeňom škodlivého softvéru je aktualizácia antivírusu. Teraz, keď je tento anti-VM trik verejnou znalosťou, je nepravdepodobné, že by sa špičkové bezpečnostné spoločnosti znova oklamali.
Je však dôležité si uvedomiť, či máte tendenciu testovať súbory na svojich virtuálnych počítačoch. Ak váš počítač VM beží na 800 × 600 alebo 1024 × 768, stojí za to ho nastaviť na populárnejšie rozlíšenie. Ak tak neurobíte, nemôžete si byť istí, či testovaný súbor obsahuje toto preventívne opatrenie proti VM.
Zostaňte v bezpečí pred záludnými vírusmi
Keďže sa kybernetická bezpečnosť stáva obrovským priemyselným odvetvím, musia sa vývojári škodlivého softvéru prispôsobiť, aby zostali o krok vpredu. Nové kmene škodlivého softvéru sa vyhnú zachyteniu, ak sa spustia v nepripravenom VM, takže ak používate VM na testovanie vírusov, nezabudnite na to.
Najlepším antivírusom je zdravý rozum, tak prečo nie jednoduché spôsoby, ako nikdy získať vírus 10 jednoduchých spôsobov, ako nikdy získať vírusS trochou základného školenia sa môžete úplne vyhnúť problému vírusov a škodlivého softvéru vo svojich počítačoch a mobilných zariadeniach. Teraz sa môžete upokojiť a užiť si internet! Čítaj viac ?
Zverejnenie provízneho predaja: Nákupom produktov, ktoré odporúčame, vám pomôžeme udržať stránky nažive. Čítaj viac.
Absolvent bakalárskeho štúdia informatiky (Computer Science BSc) s hlbokou vášňou pre bezpečnosť všetkých vecí. Potom, čo pracoval pre nezávislé herné štúdio, našiel svoju vášeň pre písanie a rozhodol sa použiť svoju zručnosť písať o všetkých veciach tech tech.