Как вредоносная программа использует разрешение экрана, чтобы избежать обнаружения
На протяжении многих лет разработчики вредоносных программ и эксперты по кибербезопасности воевали, пытаясь встретиться. Недавно сообщество разработчиков вредоносных программ внедрило новую стратегию, позволяющую избежать обнаружения: контроль разрешения экрана.
Давайте выясним, почему разрешение экрана важно для вредоносных программ и что оно значит для вас.
Вредоносные программы беспокоятся о разрешении экрана
Чтобы выяснить, почему вредоносная программа заботится о разрешении экрана, нам нужно взглянуть на одного из ее злейших врагов; виртуальная машина .
Виртуальные машины являются полезным инструментом для исследователей вирусов. Они работают как «компьютер внутри компьютера», поэтому вы можете использовать другую операционную систему, не нуждаясь в новом ПК.
Например, если у вас есть компьютер с Windows 10, но вы хотите использовать Linux, вы можете настроить виртуальную машину в Windows 10 для запуска Linux. Он будет работать так же, как машина Linux, но работает в окне в Windows 10.
Виртуальные машины очень полезны для исследователей вирусов, поскольку они действуют как цифровая ловушка Венеры. Если исследователь считает, что программа или файл содержит вирус, он может проверить его, запустив на виртуальной машине.
Если файл содержит вирус, он начнет заражать виртуальную машину. Поскольку виртуальная машина настроена как реальная, вирус полагает, что заражает реальный и не виртуальный ПК. Таким образом, он начинает доставлять свою полезную нагрузку и наносить ущерб виртуальной машине. К счастью, ни один из повреждений, которые вирус «приносит» основному компьютеру; это влияет только на виртуальный.
Как только вирус распространил игру, исследователь может изучить, как она работает, а затем восстановить виртуальную машину. Поэтому они берут то, что узнали из виртуальной машины, и используют ее для создания определений вирусов для защиты реальных компьютеров людей.
По этой причине виртуальные машины являются бичом разработчиков вредоносных программ. Если кто-то подозревает, что программа содержит вредоносное ПО, он может запустить ее на виртуальной машине и удалить, если она плохая.
Откуда берется разрешение экрана?
У этого метода тестирования приложения есть недостаток. Когда исследователь вредоносных программ создает виртуальную машину, он не заинтересован во всех дополнительных функциях. Все, что им нужно для проверки на наличие вирусов, — это виртуальная машина, которая работает как обычный компьютер, все остальное необязательно.
В результате, исследователи иногда не устанавливают гостевую программу VM. Это программное обеспечение обеспечивает дополнительные функции, такие как более высокое разрешение экрана, в котором исследователь не нуждается. Если пользователь не использует гостевое программное обеспечение, виртуальная машина обычно блокирует пользователя в одном из двух низких разрешений: 800 × 600 и 1024 × 768.
Эти два разрешения важны для разработчика вредоносных программ. Современные компьютеры и ноутбуки обычно не имеют экранов с таким разрешением; это очень устарело.
На самом деле вы можете увидеть, насколько он устарел на Statcounter , который собирает информацию о наиболее часто используемых разрешениях. На момент написания этой статьи разрешения были выше или ниже, чем в приведенных выше примерах виртуальных машин.
С одной стороны спектра у вас стандартное разрешение 1366 × 768 для ноутбуков и 1920 × 1080 для мониторов ПК. С другой стороны, вы найдете крошечные экраны размером 360 × 640 — это смартфоны.
800 × 600 и 1024 × 768 вообще не отображаются. Существует противоположность последней, 768 × 1024; это разрешение iPad. Однако это тоже занимает всего 2,6 процента, что означает, что 97,4 процента устройств используют разные разрешения.
Как вредоносные программы используют эти данные, чтобы избежать виртуальных машин
Поэтому, когда вредоносная программа поступает на хост-компьютер и замечает, что она работает на 80
0 × 600 или 1024 × 768, она работает на очень устаревшем оборудовании или, более вероятно, просматривается внутри виртуальной машины.
Если вирус работает в таком состоянии, он подарит игру прямо на глазах у исследователя вирусов. Поэтому, чтобы защитить свои секреты, вредоносная программа самоуничтожается и не наносит вреда.
С точки зрения исследователя, программа работала и не заражала ПК, поэтому она должна быть доброкачественной. Затем они могут назначить программе ложноотрицательный отчет, что позволит вредоносной программе двигаться дальше, прежде чем она будет наконец обнаружена.
Примеры реальной проверки разрешения вредоносных программ
Трикбот — отличный пример такой тактики в природе. Исследователям удалось недавно испытать напряжение в коде TrickBot и проанализировать, как он работает. Пользователь Twitter, известный как Мак (@maciekkotowicz), нашел внутри TrickBot фрагмент кода, который сканирует с разрешением 800 × 600 или 1024 × 768.
Сегодняшние загрузчики #Trickbot с разрешением экрана #antivm , если у вас разрешение 800 × 600 или 1024 × 768, вы в безопасности! ;] cc @VK_Intel @James_inthe_box @JAMESWT_MHT @abuse_ch pic.twitter.com/mbGE5IwLH0
— Мак (@maciekkotowicz) 30 июня 2020 г.
В этом фрагменте кода вирус принимает значения X и Y компьютерного разрешения, а затем объединяет их, чтобы увидеть результат. Если результат равен 800 × 600 или 1024 × 768, код возвращает число 0. Это указывает на то, что вредоносная программа работает в ВМ.
Как только вредоносная программа узнает, что находится внутри виртуальной машины, она самоуничтожается, чтобы избежать обнаружения. В результате любой, кто проверяет наличие вирусов в виртуальной машине, ошибочно считает ее безопасной.
Что эта тактика значит для вас
Очевидно, это означает, что если вы используете разрешение 1024 × 768 или 800 × 600, у вас будет защита от некоторых видов вредоносного ПО. Как только они прибудут, они заметят ваше разрешение и взорвутся, прежде чем нанести урон. Однако то, что вы получаете в плане защиты, вы потеряете в здравом уме, используя компьютер с таким ограниченным разрешением!
Поэтому лучшее решение для борьбы с этим новым видом вредоносного ПО — обновить антивирус. Теперь, когда этот трюк с анти-ВМ находится в открытом доступе, высококлассные компании по обеспечению безопасности вряд ли будут снова обмануты.
Тем не менее, это важно отметить, если у вас есть склонность к тестированию файлов на ваших виртуальных машинах. Если виртуальная машина работает с разрешением 800 × 600 или 1024 × 768, стоит установить более популярное разрешение. Если это не так, вы не можете быть уверены, что в тестируемом файле установлена эта мера предосторожности против VM.
Остерегайтесь скрытых вирусов
Поскольку кибербезопасность становится огромной отраслью, разработчикам вредоносных программ приходится адаптироваться, чтобы оставаться на шаг впереди. Новые штаммы вредоносных программ будут избегать приобретения, если будут работать на неподготовленной виртуальной машине, поэтому, если вы используете виртуальные машины для тестирования на вирусы, обязательно имейте это в виду.
Здравый смысл — лучший антивирус, так почему бы не изучить простые способы никогда не заразиться вирусом ?
Прочитайте статью полностью: Как вредоносное ПО использует разрешение экрана, чтобы избежать обнаружения