Kako zlonamjerni softver iskorištava razlučivost zaslona kako bi izbjegao otkrivanje

Godinama su razvijači zlonamjernog softvera i stručnjaci za kibernetičku sigurnost imali napete sukobe. Nedavno je zajednica razvijača zlonamjernog softvera implementirala novu strategiju za izbjegavanje otkrivanja: Provjerite razlučivost zaslona.

Istražimo zašto je razlučivost zaslona važna za zlonamjerni softver i što ona znači za vas.

Zašto je zlonamjernom softveru stalo do rezolucije zaslona?

Da biste razumjeli zašto je zlonamjernom softveru stalo do rezolucije zaslona, ​​razmotrite jednog od neprijatelja zlonamjernog softvera: Virtualni strojevi .

Virtualni strojevi su koristan alat za istraživače virusa. Oni rade kao jedno računalo unutar drugog, tako da možete koristiti drugi operativni sustav bez potrebe za novim računalom.

Na primjer, ako imate računalo sa sustavom Windows 10, ali želite koristiti Linux, možete postaviti virtualni stroj unutar sustava Windows 10 za pokretanje Linuxa. Funkcionirat će kao Linux računalo, ali će raditi u prozoru na Windows 10.

• 7 načina za pomoć pri pokretanju Linux softvera u sustavu Windows

Virtualni strojevi vrlo su korisni za istraživače virusa jer djeluju poput digitalne zamke za muhe. Ako istraživač vjeruje da program ili datoteka sadrži virus, može ih testirati pokretanjem u virtualnom računalu.

Ako datoteka sadrži virus, počet će zaraziti virtualni stroj. Budući da je virtualni stroj postavljen da izgleda kao pravi stroj, virus vjeruje da je zarazio pravi PC, a ne virtualni stroj. Kao takav, počinje isporučivati ​​svoj teret i nanositi štetu virtualnom stroju. Srećom, ne postoji šteta koju virus može nanijeti glavnom računalu. Utječe samo na virtualne strojeve.

Nakon što se virus razotkrije, istraživači mogu naučiti kako radi, a zatim resetirati virtualni stroj. Zatim su uzeli ono što su naučili iz virtualnog stroja i upotrijebili ih za stvaranje definicija virusa kako bi zaštitili korisnike na stvarnim računalima. Zbog toga su virtualni strojevi neprijateljski raspoloženi prema programerima zlonamjernog softvera.

Kakvu ulogu u tome igra rezolucija zaslona?

Ova metoda testiranja aplikacije ima nedostatak. Kada istraživači zlonamjernog softvera stvaraju virtualni stroj, zapravo ih nije briga za sve dodatne značajke. Sve što im treba za testiranje na viruse je virtualni stroj koji se ponaša kao normalno računalo, sve ostalo je samo izborno.

Kao rezultat toga, istraživači ponekad ne instaliraju gostujući softver VM-a. Ovaj je softver omogućio dodatne značajke poput veće razlučivosti zaslona, ​​što istraživaču zapravo nije bilo potrebno. Ako korisnik ne koristi klijentski softver, VM obično zaključava korisnika na jednu od dvije niske rezolucije: 800x600 i 1024x768.

Ove dvije rezolucije vrlo su važne za programere zlonamjernog softvera. Moderna računala i prijenosna računala ne dolaze često sa zaslonima te rezolucije. Ta veličina je jako zastarjela.

Popularne rezolucije uređaja

Kako zlonamjerni softver koristi te podatke za izbjegavanje virtualnih računala?

Dakle, kada se zlonamjerni softver pojavi na glavnom računalu i primijeti se da radi na rezoluciji od 800 × 600 ili 1024 × 768, to znači da se zlonamjerni softver vjerojatno izvodi na vrlo zastarjelom ili potencijalno sposobnom hardveru. nadzirane mogućnosti u virtualnom stroju .

Ako virus djeluje pod ovim uvjetima, bit će izložen. Dakle, da biste se zaštitili, zlonamjerni softver će sam prekinuti rad i neće uzrokovati štetu.

Iz perspektive istraživača, program je radio i nije zarazio računalo, tako da nije bio virus. Tada mogu stvarati pogrešne pretpostavke o programu, dopuštajući zlonamjernom softveru da putuje dalje prije nego što bude otkriven.

Primjer testiranja zlonamjernog softvera u stvarnom svijetu

Trickbot je izvrstan primjer ove taktike na djelu. Istraživači su nedavno uspjeli provaliti u liniju TrickBot koda i analizirati kako radi. Korisnik Twittera po imenu Mak (@maciekkotowicz) pronašao je kod u TrickBotu koji skenira 800×600 ili 1024×768 rezoluciju.

Kod u TrickBotu skenira u rezoluciji 800×600 ili 1024×768

U ovom kodu, virus uzima vrijednosti X i Y rezolucije računala, zatim ih kombinira kako bi vidio rezultat. Ako je rezultat 800 × 600 ili 1024 × 768, kod će vratiti 0. To označava zlonamjerni softver koji radi na virtualnom računalu.

Nakon što zlonamjerni softver sazna da se nalazi u virtualnom stroju, sam se uništava kako bi izbjegao otkrivanje. Kao rezultat toga, svatko tko provjerava viruse u virtualnom računalu smatrat će ga sigurnim.

Što ova strategija znači za vas?

Naravno, to znači da ako koristite rezoluciju 1024x768 ili 800x600, bit ćete zaštićeni od nekih vrsta malwarea. Čim dođu do sustava, primijetit će vašu rezoluciju i samouništiti se prije nego nanesu bilo kakvu štetu. Međutim, da biste dobili ovu zaštitu, morat ćete koristiti računalo s vrlo malom rezolucijom!

Kao takav, najbolji način za borbu protiv ove nove vrste zlonamjernog softvera je ažuriranje antivirusnog softvera . Sada je ovaj anti-VM trik javno poznat, tako da je vrlo malo vjerojatno da će vrhunske sigurnosne tvrtke ponovno biti prevarene.

Međutim, ovo je posebno važno imati na umu ako imate tendenciju provjeravati datoteke na vlastitim virtualnim strojevima. Ako vaše virtualno računalo radi na 800×600 ili 1024×768, možda bi bilo vrijedno postaviti ga na uobičajeniju razlučivost. Ako to ne učinite, nemoguće je biti siguran ima li datoteka koju provjeravate instaliranu ovu anti-VM mjeru opreza.