На протяжении многих лет разработчики вредоносных программ и эксперты по кибербезопасности воевали, пытаясь объединить усилия друг с другом. Недавно сообщество разработчиков вредоносных программ развернуло новую стратегию уклонения от обнаружения: проверка разрешения экрана.
Давайте рассмотрим, почему разрешение экрана имеет значение для вредоносных программ, и что это значит для вас.
Почему вредоносное ПО заботится о разрешении экрана
Чтобы выяснить, почему вредоносная программа заботится о разрешении экрана, нам нужно взглянуть на одного из ее злейших врагов; виртуальная машина Что такое виртуальная машина? Все, что Вам нужно знатьВиртуальные машины позволяют запускать другие операционные системы на вашем текущем компьютере. Вот что вы должны знать о них. Читать далее .
Виртуальные машины являются полезным инструментом для исследователей вирусов. Они действуют как «компьютер внутри компьютера», поэтому вы можете использовать другую операционную систему, не нуждаясь в новом ПК.
Например, если у вас есть компьютер с Windows 10, но вы хотите использовать Linux, вы можете настроить виртуальную машину внутри Windows 10 для запуска Linux. Он будет действовать как машина Linux, но запускается в окне в Windows 10.
Виртуальные машины очень полезны для исследователей вирусов, поскольку они действуют как цифровая ловушка Венеры. Если исследователь считает, что программа или файл содержит вирус, он может проверить его, запустив на виртуальной машине.
Если файл содержит вирус, он начнет заражать виртуальную машину. Поскольку виртуальная машина настроена как настоящая, вирус полагает, что заражает реальный компьютер, а не виртуальный. Таким образом, он начинает доставлять свою полезную нагрузку и наносить ущерб виртуальной машине. К счастью, ни один из повреждений, которые вирус не переносит на основной компьютер; это влияет только на виртуальный.
Как только вирус отдает игру, исследователь может изучить, как она работает, а затем перезагрузить виртуальную машину. Затем они берут то, что узнали из виртуальной машины, и используют ее для создания определений вирусов для защиты реальных компьютеров людей.
Из-за этого виртуальные машины являются бичом разработчиков вредоносных программ. Если кто-то подозревает, что программа содержит вредоносное ПО, он может загрузить ее на виртуальной машине и удалить ее, если она плохая.
Откуда берется разрешение экрана?
У этого метода тестирования приложений есть один недостаток. Когда исследователь вредоносных программ создает виртуальную машину, он на самом деле не заинтересован во всех дополнительных функциях. Все, что им нужно для проверки на вирусы, - это виртуальная машина, которая работает как обычный компьютер - все остальное необязательно.
В результате исследователи иногда не устанавливают гостевое программное обеспечение виртуальной машины. Это программное обеспечение обеспечивает дополнительные функции, такие как более высокое разрешение экрана, в котором исследователь на самом деле не нуждается. Если пользователь не использует гостевое программное обеспечение, виртуальная машина обычно блокирует пользователя в одном из двух низких разрешений: 800 × 600 и 1024 × 768.
Эти два решения важны для разработчика вредоносных программ. Современные компьютеры и ноутбуки обычно не поставляются с экранами с таким разрешением; это очень устарело.
На самом деле, вы можете увидеть, насколько это устарело Statcounter, который собирает информацию о наиболее часто используемых резолюциях. На момент написания резолюции разрешения были больше или меньше, чем в приведенных выше примерах виртуальных машин.
С одной стороны спектра у вас стандартное разрешение 1366 × 768 для ноутбуков и 1920 × 1080 для мониторов ПК. С другой стороны, вы найдете крошечные экраны размером 360 × 640 - это смартфоны.
800 × 600 и 1024 × 768 вообще не появляются. Обратная сторона последнего, 768 × 1024, существует; это разрешение iPad. Однако даже это занимает всего 2,6 процента, то есть 97,4 процента устройств используют разные разрешения.
Как вредоносные программы используют эти данные для предотвращения виртуальных машин
Таким образом, когда вредоносное ПО попадает на хост-компьютер и замечает, что оно работает на 800 × 600 или 1024 × 768, либо на очень устаревшем оборудовании, либо, что более вероятно, они отслеживаются в виртуальном машина.
Если вирус работает в таких условиях, он подарит игру прямо на глазах у исследователя вирусов. Таким образом, чтобы защитить свои секреты, вредоносная программа самоуничтожается и не наносит ущерба.
С точки зрения исследователя, программа запускалась и не заражала компьютер, поэтому она должна быть доброкачественной. Затем они могут назначить ложноотрицательный отчет для программы, что позволит вредоносному ПО продвигаться дальше, прежде чем оно будет наконец обнаружено.
Примеры проверки разрешения вредоносных программ в реальном мире
Трикбот является отличным примером этой тактики в дикой природе. Исследователям удалось взломать последний код TrickBot и проанализировать, как он работает. Один пользователь Twitter, известный как Мак (@maciekkotowicz), нашел в TrickBot кусок кода, который сканирует для разрешения 800 × 600 или 1024 × 768.
Сегодняшних #Trickbot загрузчики с разрешением экрана #antivm уловка, если у вас есть разрешение 800 × 600 или 1024 × 768 - вы в безопасности! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- Мак (@maciekkotowicz) 30 июня 2020 г.
В этом фрагменте кода вирус захватывает значения X и Y разрешения компьютера, а затем объединяет их, чтобы увидеть результат. Если результат равен 800 × 600 или 1024 × 768, код возвращает число 0. Это сообщает вредоносному ПО, что оно работает на виртуальной машине.
Когда вредоносная программа узнает, что находится внутри виртуальной машины, она самоуничтожается, чтобы избежать обнаружения. В результате любой, кто проверяет наличие вирусов в виртуальной машине, ошибочно посчитает ее безопасной.
Что эта тактика значит для вас
Конечно, это означает, что если вы используете разрешение 1024 × 768 или 800 × 600, у вас будет защита от некоторых видов вредоносных программ. Как только они прибудут, они запомнят ваше разрешение и произведут детонацию, прежде чем нанесут какой-либо ущерб. Однако, что вы получаете в защите, вы потеряете в здравом уме, используя компьютер с таким ограниченным разрешением!
Поэтому для борьбы с этим новым видом вредоносного ПО лучше всего обновлять антивирус. Теперь, когда этот трюк против виртуальных машин стал общедоступным, маловероятно, что компании, занимающиеся вопросами безопасности, снова будут обмануты.
Тем не менее, это важно отметить, если у вас есть склонность тестировать файлы на ваших собственных виртуальных машинах. Если ваша виртуальная машина работает с разрешением 800 × 600 или 1024 × 768, стоит установить более популярное разрешение. Если вы этого не сделаете, вы не можете быть уверены, что в тестируемом файле установлена эта мера предосторожности против VM.
Оставаясь в безопасности от подлых вирусов
Поскольку кибербезопасность становится огромной отраслью, разработчикам вредоносных программ приходится адаптироваться, чтобы оставаться на шаг впереди. Новые штаммы вредоносных программ будут избегать захвата, если будут работать на неподготовленной виртуальной машине, поэтому, если вы используете виртуальные машины для тестирования на вирусы, обязательно имейте это в виду.
Лучший антивирус - это здравый смысл, так почему бы не изучить простые способы никогда не заразиться вирусом 10 простых способов никогда не заразиться вирусомС небольшим базовым обучением вы можете полностью избежать проблемы вирусов и вредоносных программ на ваших компьютерах и мобильных устройствах. Теперь вы можете успокоиться и наслаждаться интернетом! Читать далее ?
Раскрытие партнерской программы: Покупая продукты, которые мы рекомендуем, вы помогаете поддерживать работу сайта. Читать далее.
Выпускник факультета компьютерных наук с глубокой страстью ко всем вещам безопасности. Поработав в студии инди-игр, он увлекся писательством и решил использовать свой набор навыков, чтобы писать обо всех технических вещах.
