Με τα χρόνια, οι προγραμματιστές κακόβουλου λογισμικού και οι ειδικοί της ασφάλειας στον κυβερνοχώρο έχουν πολεμήσει προσπαθώντας να αλληλοσυγκρουστούν. Πρόσφατα, η κοινότητα προγραμματιστών κακόβουλων προγραμμάτων ανέπτυξε μια νέα στρατηγική που αποφεύγει τον εντοπισμό: ελέγχει την ανάλυση της οθόνης.
Ας διερευνήσουμε γιατί η ανάλυση οθόνης έχει σημασία για κακόβουλα προγράμματα και τι σημαίνει για εσάς.
Γιατί το κακόβουλο λογισμικό ενδιαφέρεται για την ανάλυση οθόνης
Για να μάθουμε γιατί το κακόβουλο λογισμικό ενδιαφέρεται για την ανάλυση της οθόνης, πρέπει να ρίξουμε μια ματιά σε έναν από τους χειρότερους εχθρούς του. ο εικονική μηχανή Τι είναι μια εικονική μηχανή; Όλα όσα πρέπει να γνωρίζετεΟι εικονικές μηχανές σάς επιτρέπουν να εκτελείτε άλλα λειτουργικά συστήματα στον τρέχοντα υπολογιστή σας. Εδώ πρέπει να γνωρίζετε για αυτά. Διαβάστε περισσότερα .
Οι εικονικές μηχανές είναι ένα χρήσιμο εργαλείο για ερευνητές ιών. Λειτουργούν ως «υπολογιστής μέσα σε έναν υπολογιστή», ώστε να μπορείτε να χρησιμοποιήσετε άλλο λειτουργικό σύστημα χωρίς να χρειάζεστε νέο υπολογιστή.
Για παράδειγμα, εάν διαθέτετε υπολογιστή με Windows 10 αλλά θέλετε να χρησιμοποιήσετε το Linux, μπορείτε να ρυθμίσετε μια εικονική μηχανή μέσα στα Windows 10 για την εκτέλεση του Linux. Θα λειτουργεί ακριβώς όπως μια μηχανή Linux αλλά εκτελείται σε ένα παράθυρο στα Windows 10.
Οι εικονικές μηχανές είναι εξαιρετικά χρήσιμες για τους ερευνητές ιών, καθώς λειτουργούν ως ψηφιακή παγίδα φλεβών. Εάν ένας ερευνητής πιστεύει ότι ένα πρόγραμμα ή ένα αρχείο περιέχει έναν ιό, μπορούν να το δοκιμάσουν εκτελώντας το σε μια εικονική μηχανή.
Εάν το αρχείο περιέχει ιό, θα αρχίσει να μολύνει την εικονική μηχανή. Επειδή μια εικονική μηχανή έχει ρυθμιστεί όπως μια πραγματική, ο ιός πιστεύει ότι μολύνει έναν πραγματικό υπολογιστή και όχι έναν εικονικό. Ως εκ τούτου, αρχίζει να παρέχει το ωφέλιμο φορτίο του και να προκαλεί ζημιά στην εικονική μηχανή. Ευτυχώς, καμία από τις ζημίες που ένας ιός δεν «μεταφέρει» στον κύριο υπολογιστή. επηρεάζει μόνο το εικονικό.
Μόλις ο ιός δώσει το παιχνίδι μακριά, ο ερευνητής μπορεί να μελετήσει πώς λειτουργεί και, στη συνέχεια, να επαναφέρει την εικονική μηχανή. Στη συνέχεια παίρνουν ό, τι έμαθαν από την εικονική μηχανή και το χρησιμοποιούν για να δημιουργήσουν ορισμούς ιών για την προστασία των πραγματικών υπολογιστών των ανθρώπων.
Εξαιτίας αυτού, οι εικονικές μηχανές είναι ο όγκος των προγραμματιστών κακόβουλων προγραμμάτων. Εάν κάποιος υποψιάζεται ότι ένα πρόγραμμα φιλοξενεί κακόβουλο λογισμικό, μπορεί να το εκκινήσει σε μια εικονική μηχανή και να το καθαρίσει αν είναι κακό.
Πού έρχεται η ανάλυση οθόνης;
Υπάρχει ένα ελάττωμα με αυτήν τη μέθοδο δοκιμής εφαρμογών. Όταν ένας ερευνητής κακόβουλου λογισμικού δημιουργεί μια εικονική μηχανή, δεν ενδιαφέρεται πραγματικά για όλες τις πρόσθετες λειτουργίες. Το μόνο που χρειάζονται για να ελέγξουν για ιούς είναι μια εικονική μηχανή που λειτουργεί σαν κανονικός υπολογιστής - όλα τα άλλα είναι προαιρετικά.
Ως αποτέλεσμα, οι ερευνητές μερικές φορές δεν εγκαθιστούν το λογισμικό επισκεπτών του VM. Αυτό το λογισμικό επιτρέπει πρόσθετες λειτουργίες, όπως υψηλότερες αναλύσεις οθόνης, τις οποίες ο ερευνητής δεν χρειάζεται πραγματικά. Εάν ο χρήστης δεν χρησιμοποιεί το λογισμικό επισκέπτη, το VM συνήθως κλειδώνει τον χρήστη σε μία από τις δύο χαμηλές αναλύσεις: 800 × 600 και 1024 × 768.
Αυτές οι δύο αναλύσεις είναι σημαντικές για έναν προγραμματιστή κακόβουλου λογισμικού. Οι σύγχρονοι υπολογιστές και φορητοί υπολογιστές συνήθως δεν διαθέτουν οθόνες σε αυτήν την ανάλυση. είναι πολύ ξεπερασμένο.
Στην πραγματικότητα, μπορείτε να δείτε πόσο ξεπερασμένο είναι Στατιστής, που συλλέγει πληροφορίες σχετικά με τις πιο χρησιμοποιούμενες αναλύσεις. Τη στιγμή της γραφής, οι αναλύσεις τείνουν να είναι μεγαλύτερες ή μικρότερες από τα παραπάνω παραδείγματα VM.
Από τη μία πλευρά του φάσματος, έχετε την τυπική ανάλυση 1366 × 768 για φορητούς υπολογιστές και 1920 × 1080 για οθόνες υπολογιστή. Από την άλλη πλευρά, θα βρείτε μικροσκοπικές οθόνες 360 × 640 σε χρήση - αυτές είναι smartphone.
800 × 600 και 1024 × 768 δεν εμφανίζονται καθόλου. Το αντίστροφο του τελευταίου, 768 × 1024, υπάρχει. Αυτή είναι μια ανάλυση iPad. Ωστόσο, ακόμη και αυτό καταλαμβάνει μόνο 2,6 τοις εκατό, που σημαίνει ότι το 97,4 τοις εκατό των συσκευών χρησιμοποιούν διαφορετικές αναλύσεις.
Πώς το κακόβουλο λογισμικό χρησιμοποιεί αυτά τα δεδομένα για να αποφύγει VM
Ως εκ τούτου, όταν το κακόβουλο λογισμικό προσγειώνεται σε έναν κεντρικό υπολογιστή και σημειώνει ότι εκτελείται σε 800 × 600 ή 1024 × 768, είτε σε πολύ ξεπερασμένο υλικό είτε - πιθανότατα - παρακολουθούνται σε εικονικό μηχανή.
Εάν ο ιός λειτουργεί υπό αυτήν την κατάσταση, θα δώσει το παιχνίδι αμέσως κάτω από τα μάτια ενός ερευνητή ιών. Ως εκ τούτου, για να προστατεύσει τα μυστικά του, το κακόβουλο λογισμικό αντ 'αυτού τερματίζεται και δεν προκαλεί ζημιά.
Από τη σκοπιά του ερευνητή, το πρόγραμμα έτρεξε και δεν μολύνει τον υπολογιστή, οπότε πρέπει να είναι καλοήθη. Εν συνεχεία ενδέχεται να εκχωρήσουν μια ψευδώς αρνητική αναφορά για το πρόγραμμα, επιτρέποντας στο κακόβουλο λογισμικό να ταξιδεύει περισσότερο προτού τελικά πιάσει.
Παραδείγματα κακόβουλου λογισμικού ελέγχου-ανάλυσης στον πραγματικό κόσμο
Το Trickbot είναι ένα εξαιρετικό παράδειγμα αυτής της τακτικής στην άγρια φύση. Οι ερευνητές κατάφεραν να εισέλθουν σε ένα πρόσφατο στέλεχος του κώδικα του TrickBot και ανέλυσαν τον τρόπο λειτουργίας του. Ένας χρήστης του Twitter γνωστός ως Mak (@maciekkotowicz) βρήκε ένα κομμάτι κώδικα στο TrickBot που ανιχνεύει ανάλυση 800 × 600 ή 1024 × 768.
Σημερινή # Τρίμποτ φορτωτές με ανάλυση οθόνης # αντίτιμ κόλπο, εάν έχετε ανάλυση 800 × 600 ή 1024 × 768 - είστε ασφαλείς! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30 Ιουνίου 2020
Σε αυτό το κομμάτι κώδικα, ο ιός αρπάζει τις τιμές X και Y της ανάλυσης του υπολογιστή και τις συνδυάζει για να δει το αποτέλεσμα. Εάν το αποτέλεσμα ισούται με 800 × 600 ή 1024 × 768, ο κωδικός επιστρέφει τον αριθμό 0. Αυτό ενημερώνει το κακόβουλο λογισμικό που εκτελείται σε VM.
Μόλις το κακόβουλο λογισμικό γνωρίζει ότι βρίσκεται μέσα σε μια εικονική μηχανή, αυτοκαταστρέφεται για να αποφύγει τον εντοπισμό. Ως αποτέλεσμα, οποιοσδήποτε ελέγχει για ιούς σε μια εικονική μηχανή θα το θεωρήσει εσφαλμένα ασφαλές.
Τι σημαίνει αυτή η τακτική για εσάς
Φυσικά, αυτό σημαίνει ότι εάν χρησιμοποιήσατε ανάλυση 1024 × 768 ή 800 × 600, θα έχετε προστασία από ορισμένα στελέχη κακόβουλου λογισμικού. Μόλις φτάσουν, θα σημειώσουν το ψήφισμά σας και θα πυροδοτηθούν πριν προλάβουν οποιαδήποτε ζημιά. Ωστόσο, ό, τι κερδίζετε στην προστασία, θα χάσετε τη λογική σας χρησιμοποιώντας έναν υπολογιστή με τόσο περιορισμένη ανάλυση!
Ως εκ τούτου, το καλύτερο στοίχημά σας για την καταπολέμηση αυτού του νέου στελέχους κακόβουλου λογισμικού είναι να ενημερώσετε το antivirus. Τώρα που αυτό το τέχνασμα κατά του VM είναι γνώση του κοινού, είναι απίθανο οι εταιρείες ασφαλείας υψηλού επιπέδου να ξεγελαστούν ξανά.
Ωστόσο, αυτό είναι σημαντικό να σημειωθεί εάν έχετε την τάση να δοκιμάζετε αρχεία στα δικά σας εικονικά μηχανήματα. Εάν το VM σας λειτουργεί σε 800 × 600 ή 1024 × 768, αξίζει να το ορίσετε σε μια πιο δημοφιλή ανάλυση. Εάν δεν το κάνετε, δεν μπορείτε να είστε σίγουροι εάν το αρχείο που δοκιμάσατε έχει εγκαταστήσει αυτήν την προφύλαξη κατά του VM.
Μείνετε ασφαλείς από ύπουλους ιούς
Με την κυβερνοασφάλεια να γίνει η τεράστια βιομηχανία που είναι, οι προγραμματιστές κακόβουλου λογισμικού πρέπει να προσαρμοστούν για να παραμείνουν ένα βήμα μπροστά. Νέα στελέχη κακόβουλου λογισμικού θα αποφύγουν τη δέσμευση εάν εκτελούνται σε μη προετοιμασμένο VM, οπότε αν χρησιμοποιείτε VM για δοκιμές ιών, φροντίστε να το έχετε υπόψη σας.
Το καλύτερο antivirus είναι η κοινή λογική, οπότε γιατί να μην μάθετε το εύκολοι τρόποι για να μην πάρετε ποτέ έναν ιό 10 εύκολοι τρόποι για να μην πάρετε ποτέ έναν ιόΜε λίγη βασική εκπαίδευση, μπορείτε να αποφύγετε εντελώς το πρόβλημα των ιών και του κακόβουλου λογισμικού στους υπολογιστές και τις φορητές συσκευές σας. Τώρα μπορείτε να ηρεμήσετε και να απολαύσετε το Διαδίκτυο! Διαβάστε περισσότερα ?
Αποκάλυψη συνεργατών: Αγοράζοντας τα προϊόντα που προτείνουμε, μπορείτε να διατηρήσετε τον ιστότοπο ζωντανό. Διαβάστε περισσότερα.
Πτυχιούχος Επιστήμης Υπολογιστών BSc με βαθύ πάθος για την ασφάλεια όλων των πραγμάτων. Αφού εργάστηκε για ένα στούντιο παιχνιδιών indie, βρήκε το πάθος του για τη γραφή και αποφάσισε να χρησιμοποιήσει το σετ δεξιοτήτων του για να γράψει για όλα τα πράγματα τεχνολογίας.
