Για χρόνια, οι προγραμματιστές κακόβουλου λογισμικού και οι ειδικοί στην ασφάλεια στον κυβερνοχώρο είχαν τεταμένες αντιπαραθέσεις. Πρόσφατα, η κοινότητα ανάπτυξης κακόβουλου λογισμικού έχει εφαρμόσει μια νέα στρατηγική για την αποφυγή εντοπισμού: Ελέγξτε την ανάλυση οθόνης.
Ας διερευνήσουμε γιατί η ανάλυση οθόνης έχει σημασία για κακόβουλο λογισμικό και τι σημαίνει για εσάς.
Γιατί το κακόβουλο λογισμικό ενδιαφέρεται για την ανάλυση οθόνης;
Για να κατανοήσετε γιατί το κακόβουλο λογισμικό ενδιαφέρεται για την ανάλυση οθόνης, σκεφτείτε ένα από τα εχθρικά του κακόβουλου λογισμικού: Εικονικές μηχανές .
Οι εικονικές μηχανές είναι ένα χρήσιμο εργαλείο για τους ερευνητές ιών. Λειτουργούν σαν ένας υπολογιστής μέσα σε έναν άλλο, ώστε να μπορείτε να χρησιμοποιείτε διαφορετικό λειτουργικό σύστημα χωρίς να χρειάζεστε νέο υπολογιστή.
Για παράδειγμα, εάν διαθέτετε υπολογιστή με Windows 10 αλλά θέλετε να χρησιμοποιήσετε Linux, μπορείτε να ρυθμίσετε μια εικονική μηχανή μέσα στα Windows 10 για να τρέχει το Linux. Θα λειτουργεί όπως ένας υπολογιστής Linux, αλλά θα εκτελείται σε ένα παράθυρο στα Windows 10.
Οι εικονικές μηχανές είναι πολύ χρήσιμες για τους ερευνητές ιών, επειδή λειτουργούν σαν ψηφιακή παγίδα μυγών. Εάν ένας ερευνητής πιστεύει ότι ένα πρόγραμμα ή ένα αρχείο περιέχει έναν ιό, μπορεί να το δοκιμάσει εκτελώντας το σε μια εικονική μηχανή.
Εάν το αρχείο περιέχει ιό, θα αρχίσει να μολύνει την εικονική μηχανή. Επειδή μια εικονική μηχανή έχει ρυθμιστεί ώστε να μοιάζει με πραγματική μηχανή, ο ιός πιστεύει ότι έχει μολύνει έναν πραγματικό υπολογιστή και όχι μια εικονική μηχανή. Ως εκ τούτου, αρχίζει να παραδίδει το ωφέλιμο φορτίο του και να προκαλεί ζημιά στην εικονική μηχανή. Ευτυχώς, δεν υπάρχει καμία ζημιά που μπορεί να προκαλέσει ο ιός στον κύριο υπολογιστή. Επηρεάζει μόνο εικονικές μηχανές.
Μόλις εκτεθεί ο ιός, οι ερευνητές μπορούν να μάθουν πώς λειτουργεί και στη συνέχεια να επαναφέρουν την εικονική μηχανή. Στη συνέχεια, πήραν ό,τι έμαθαν από την εικονική μηχανή και τα χρησιμοποίησαν για να δημιουργήσουν ορισμούς ιών για την προστασία των χρηστών σε πραγματικούς υπολογιστές. Εξαιτίας αυτού, οι εικονικές μηχανές είναι εχθρικές προς τους προγραμματιστές κακόβουλου λογισμικού.
Τι ρόλο παίζει η ανάλυση οθόνης σε αυτό;
Υπάρχει ένα ελάττωμα με αυτήν τη μέθοδο δοκιμής εφαρμογής. Όταν οι ερευνητές κακόβουλου λογισμικού δημιουργούν μια εικονική μηχανή, δεν ενδιαφέρονται πραγματικά για όλες τις επιπλέον δυνατότητες. Το μόνο που χρειάζονται για να δοκιμάσουν για ιούς είναι μια εικονική μηχανή που λειτουργεί όπως ένας κανονικός υπολογιστής, όλα τα άλλα είναι απλώς προαιρετικά.
Ως αποτέλεσμα, οι ερευνητές μερικές φορές δεν εγκαθιστούν το λογισμικό φιλοξενουμένων του VM. Αυτό το λογισμικό επέτρεψε πρόσθετες δυνατότητες, όπως υψηλότερη ανάλυση οθόνης, που ο ερευνητής δεν χρειαζόταν πραγματικά. Εάν ο χρήστης δεν χρησιμοποιεί λογισμικό πελάτη, το VM συνήθως κλειδώνει τον χρήστη σε μία από τις δύο χαμηλές αναλύσεις: 800x600 και 1024x768.
Αυτές οι δύο αναλύσεις είναι πολύ σημαντικές για έναν προγραμματιστή κακόβουλου λογισμικού. Οι σύγχρονοι υπολογιστές και φορητοί υπολογιστές δεν διαθέτουν συχνά οθόνες σε αυτή την ανάλυση. Αυτό το μέγεθος είναι πολύ ξεπερασμένο.
Δημοφιλείς αναλύσεις συσκευών
Πώς χρησιμοποιεί το κακόβουλο λογισμικό αυτά τα δεδομένα για να αποφύγει τα VM;
Έτσι, όταν εμφανίζεται κακόβουλο λογισμικό σε έναν κεντρικό υπολογιστή και παρατηρείται ότι εκτελείται σε ανάλυση 800×600 ή 1024×768, σημαίνει ότι το κακόβουλο λογισμικό εκτελείται πιθανώς σε πολύ παλιό ή δυνητικά ικανό υλικό. .
Εάν ο ιός λειτουργεί υπό αυτές τις συνθήκες, θα εκτεθεί. Έτσι, για να προστατευτείτε, το κακόβουλο λογισμικό θα τερματιστεί από μόνο του και δεν θα προκαλέσει ζημιά.
Από την πλευρά του ερευνητή, το πρόγραμμα έτρεξε και δεν μόλυναν τον υπολογιστή, επομένως δεν ήταν ιός. Στη συνέχεια, ενδέχεται να κάνουν ψευδείς υποθέσεις σχετικά με το πρόγραμμα, επιτρέποντας στο κακόβουλο λογισμικό να ταξιδέψει περαιτέρω πριν εντοπιστεί.
Παράδειγμα δοκιμής κακόβουλου λογισμικού ανάλυσης σε πραγματικό κόσμο
Το Trickbot είναι ένα εξαιρετικό παράδειγμα αυτής της τακτικής στη δράση. Οι ερευνητές κατάφεραν πρόσφατα να εισχωρήσουν σε μια σειρά κώδικα TrickBot και να αναλύσουν πώς λειτουργεί. Ένας χρήστης του Twitter με το όνομα Mak (@maciekkotowicz) βρήκε έναν κωδικό στο TrickBot που σαρώνει ανάλυση 800×600 ή 1024×768.
Ο κώδικας στο TrickBot σαρώνει σε ανάλυση 800×600 ή 1024×768
Σε αυτόν τον κώδικα, ο ιός παίρνει τις τιμές X και Y της ανάλυσης του υπολογιστή και στη συνέχεια τις συνδυάζει για να δει το αποτέλεσμα. Εάν το αποτέλεσμα είναι 800×600 ή 1024×768, ο κωδικός θα επιστρέψει 0. Αυτό υποδεικνύει κακόβουλο λογισμικό που εκτελείται σε μια εικονική μηχανή.
Μόλις το κακόβουλο λογισμικό καταλάβει ότι βρίσκεται σε μια εικονική μηχανή, αυτοκαταστρέφεται για να αποφύγει τον εντοπισμό. Ως αποτέλεσμα, όποιος ελέγχει για ιούς σε μια εικονική μηχανή θα το θεωρήσει ασφαλές.
Τι σημαίνει για εσάς αυτή η στρατηγική;
Φυσικά, αυτό σημαίνει ότι εάν χρησιμοποιείτε ανάλυση 1024x768 ή 800x600, θα προστατεύεστε από ορισμένους τύπους κακόβουλου λογισμικού. Μόλις φτάσουν στο σύστημα, θα σημειώσουν την επίλυσή σας και θα αυτοκαταστραφούν πριν προκαλέσουν οποιαδήποτε ζημιά. Ωστόσο, για να αποκτήσετε αυτή την προστασία, θα πρέπει να χρησιμοποιήσετε έναν υπολογιστή με πολύ μικρή ανάλυση!
Ως εκ τούτου, ο καλύτερος τρόπος για την καταπολέμηση αυτού του νέου τύπου κακόβουλου λογισμικού είναι να ενημερώσετε το λογισμικό προστασίας από ιούς . Τώρα αυτό το τέχνασμα κατά της εικονικής πραγματικότητας είναι γνωστό στο κοινό, επομένως είναι πολύ απίθανο οι εταιρείες ασφάλειας υψηλής τεχνολογίας να εξαπατηθούν ξανά.
Αυτό είναι ιδιαίτερα σημαντικό να το έχετε κατά νου, ωστόσο, εάν τείνετε να ελέγχετε αρχεία στις δικές σας εικονικές μηχανές. Εάν η εικονική σας μηχανή λειτουργεί με ανάλυση 800×600 ή 1024×768, ίσως αξίζει να τη ρυθμίσετε στην πιο κοινή ανάλυση. Εάν δεν το κάνετε, είναι αδύνατο να είστε βέβαιοι εάν το αρχείο που ελέγχετε έχει εγκατεστημένη αυτήν την προφύλαξη από το VM.
Το τείχος προστασίας των Windows με προηγμένη ασφάλεια είναι ένα τείχος προστασίας που εκτελείται στον Windows Server 2012 και είναι ενεργοποιημένο από προεπιλογή. Η διαχείριση των ρυθμίσεων του τείχους προστασίας στον Windows Server 2012 γίνεται στο Τείχος προστασίας των Windows Microsoft Management Console.
Κατά την αλλαγή του κωδικού πρόσβασης της σελίδας διαχείρισης σύνδεσης Vigor Draytek Modem και Router, οι χρήστες θα περιορίσουν τη μη εξουσιοδοτημένη πρόσβαση για την αλλαγή του κωδικού πρόσβασης του μόντεμ, διασφαλίζοντας σημαντικές πληροφορίες δικτύου.
Ευτυχώς, οι χρήστες υπολογιστών με Windows που διαθέτουν επεξεργαστές AMD Ryzen μπορούν να χρησιμοποιήσουν το Ryzen Master για να υπερχρονίσουν εύκολα τη μνήμη RAM χωρίς να αγγίξουν το BIOS.
Η θύρα USB-C έχει γίνει το πρότυπο για μεταφορά δεδομένων, έξοδο βίντεο και φόρτιση σε σύγχρονους φορητούς υπολογιστές με Windows. Αν και αυτό είναι βολικό, μπορεί να είναι απογοητευτικό όταν συνδέετε τον φορητό υπολογιστή σας σε φορτιστή USB-C και δεν φορτίζει.
Το σφάλμα Cannot Create Service στο Ultraviewer παρουσιάζεται όταν εγκαθιστούμε το λογισμικό με κωδικό σφάλματος 1072.
Το σφάλμα της μη εμφάνισης αναγνωριστικού στο Ultraviewer θα επηρεάσει την απομακρυσμένη σύνδεση του υπολογιστή.
Το Ultraviewer ελέγχει τον υπολογιστή από απόσταση και διαθέτει λειτουργία αποστολής και λήψης αρχείων.
Κανονικά, κατά τη διαγραφή ενός αρχείου στα Windows, το αρχείο δεν θα διαγραφεί αμέσως αλλά θα αποθηκευτεί στον Κάδο Ανακύκλωσης. Μετά από αυτό, θα πρέπει να κάνετε ένα ακόμη βήμα: να αδειάσετε τα σκουπίδια. Αλλά αν δεν θέλετε να χρειαστεί να κάνετε αυτό το δεύτερο βήμα, θα σας δείξουμε πώς να διαγράψετε οριστικά ένα αρχείο στο παρακάτω άρθρο.
Ο σκοτεινός ιστός είναι ένα μυστηριώδες μέρος με λαμπρή φήμη. Η εύρεση του σκοτεινού ιστού δεν είναι δύσκολη. Ωστόσο, το να μάθετε πώς να πλοηγείστε σε αυτό με ασφάλεια είναι ένα άλλο θέμα, ειδικά αν δεν ξέρετε τι κάνετε ή τι να περιμένετε.
Τεχνικά, το Adrozek δεν είναι ιός. Είναι ένας αεροπειρατής προγράμματος περιήγησης, γνωστός και ως τροποποιητής προγράμματος περιήγησης. Αυτό σημαίνει ότι εγκαταστάθηκε κακόβουλο λογισμικό στον υπολογιστή σας χωρίς να το γνωρίζετε.
