Kaip kenkėjiška programa naudojasi ekrano skiriamąja geba, kad išvengtų aptikimo

Daugelį metų kenkėjiškų programų kūrėjai ir kibernetinio saugumo ekspertai turėjo įtemptų konfrontacijų. Neseniai kenkėjiškų programų kūrimo bendruomenė įgyvendino naują strategiją, kad būtų išvengta aptikimo: Patikrinkite ekrano skiriamąją gebą.

Panagrinėkime, kodėl ekrano skiriamoji geba svarbi kenkėjiškoms programoms ir ką ji reiškia jums.

Kodėl kenkėjiškoms programoms rūpi ekrano skiriamoji geba?

Norėdami suprasti, kodėl kenkėjiškoms programoms rūpi ekrano skiriamoji geba, apsvarstykite vieną iš kenkėjiškų programų priešų: virtualiąsias mašinas .

Virtualios mašinos yra naudingas įrankis virusų tyrinėtojams. Jie veikia kaip vienas kompiuteris kitame, todėl galite naudoti kitą operacinę sistemą nereikalaujant naujo kompiuterio.

Pavyzdžiui, jei turite „Windows 10“ kompiuterį, bet norite naudoti „Linux“, „Windows 10“ viduje galite nustatyti virtualią mašiną, kad paleistumėte „Linux“. Jis veiks kaip „Linux“ kompiuteris, bet veiks „Windows 10“ lange.

• 7 būdai, kaip padėti paleisti Linux programinę įrangą sistemoje Windows

Virtualios mašinos yra labai naudingos virusų tyrinėtojams, nes veikia kaip skaitmeniniai musių spąstai. Jei tyrėjas mano, kad programoje ar faile yra virusas, jis gali jį išbandyti paleisdamas virtualioje mašinoje.

Jei faile yra virusas, jis pradės užkrėsti virtualią mašiną. Kadangi virtuali mašina sukurta taip, kad atrodytų kaip tikra mašina, virusas mano, kad užkrėtė tikrą kompiuterį, o ne virtualią mašiną. Taigi jis pradeda teikti naudingą apkrovą ir daro žalą virtualiai mašinai. Laimei, pagrindiniam kompiuteriui virusas negali padaryti jokios žalos. Tai turi įtakos tik virtualioms mašinoms.

Kai virusas bus atskleistas, mokslininkai gali sužinoti, kaip jis veikia, tada iš naujo nustatyti virtualiąją mašiną. Tada jie panaudojo tai, ko išmoko iš virtualios mašinos, ir panaudojo jas kurdami virusų apibrėžimus, kad apsaugotų vartotojus tikruose kompiuteriuose. Dėl šios priežasties virtualios mašinos yra priešiškos kenkėjiškų programų kūrėjams.

Kokį vaidmenį čia vaidina ekrano skiriamoji geba?

Šis programos testavimo metodas turi trūkumų. Kai kenkėjiškų programų tyrinėtojai kuria virtualią mašiną, jiems tikrai nerūpi visos papildomos funkcijos. Viskas, ko jiems reikia norint patikrinti virusus, yra virtuali mašina, kuri veikia kaip įprastas kompiuteris, visa kita yra neprivaloma.

Todėl mokslininkai kartais neįdiegia VM svečių programinės įrangos. Ši programinė įranga įgalino papildomas funkcijas, pavyzdžiui, didesnę ekrano skiriamąją gebą, kurių tyrėjui tikrai nereikėjo. Jei vartotojas nenaudoja kliento programinės įrangos, VM paprastai užrakina vartotoją vienoje iš dviejų žemų skiriamųjų gebų: 800 x 600 ir 1024 x 768.

Šios dvi rezoliucijos yra labai svarbios kenkėjiškų programų kūrėjui. Šiuolaikiniai kompiuteriai ir nešiojamieji kompiuteriai dažnai neturi tokios skiriamosios gebos ekranų. Toks dydis labai pasenęs.

Populiarios įrenginių rezoliucijos

Kaip kenkėjiška programa naudoja šiuos duomenis, kad išvengtų VM?

Taigi, kai kenkėjiška programa pasirodo pagrindiniame kompiuteryje ir pastebima, kad ji veikia 800 × 600 arba 1024 × 768 skiriamąja geba, tai reiškia, kad kenkėjiška programa tikriausiai veikia labai pasenusioje arba potencialiai veikiančioje aparatinėje įrangoje. Stebimos galimybės virtualioje mašinoje .

Jei virusas veikia tokiomis sąlygomis, jis bus paveiktas. Taigi, siekiant apsisaugoti, kenkėjiška programa pati baigsis ir nepadarys žalos.

Tyrėjo požiūriu, programa veikė ir neužkrėtė kompiuterio, todėl tai nebuvo virusas. Tada jie gali daryti klaidingas prielaidas apie programą, todėl kenkėjiška programa gali nukeliauti toliau, kol ji bus aptikta.

Kenkėjiškų programų testavimo realios skiriamosios gebos pavyzdys

„Trickbot“ yra puikus šios taktikos pavyzdys. Neseniai mokslininkams pavyko įsilaužti į „TrickBot“ kodo eilutę ir išanalizuoti, kaip ji veikia. „Twitter“ vartotojas, vardu Mak (@maciekkotowicz), „TrickBot“ rado kodą, kuris nuskaito 800 × 600 arba 1024 × 768 raišką.

Kodas „TrickBot“ nuskaito 800 × 600 arba 1024 × 768 raiška

Šiame kode virusas paima kompiuterio skiriamosios gebos X ir Y reikšmes, tada jas sujungia, kad pamatytų rezultatą. Jei rezultatas yra 800 × 600 arba 1024 × 768, kodas grąžins 0. Tai rodo, kad virtualioje mašinoje veikia kenkėjiška programa.

Kai kenkėjiška programa sužino, kad ji yra virtualioje mašinoje, ji pati sunaikinama, kad būtų išvengta aptikimo. Todėl kiekvienas, tikrinantis, ar virtualioje mašinoje nėra virusų, laikys tai saugiu.

Ką jums reiškia ši strategija?

Žinoma, tai reiškia, kad jei naudosite 1024x768 arba 800x600 skiriamąją gebą, būsite apsaugoti nuo kai kurių tipų kenkėjiškų programų. Kai tik jie pasieks sistemą, jie pastebės jūsų sprendimą ir susinaikins prieš padarydami bet kokią žalą. Tačiau norint gauti šią apsaugą, teks naudoti labai mažos raiškos kompiuterį!

Todėl geriausias būdas kovoti su šia naujo tipo kenkėjiška programine įranga yra atnaujinti antivirusinę programinę įrangą . Dabar šis anti-VM triukas yra viešai žinomas, todėl mažai tikėtina, kad aukščiausios klasės apsaugos įmonės vėl bus apgaudinėjamos.

Tačiau tai ypač svarbu turėti omenyje, jei esate linkę tikrinti failus savo virtualiose mašinose. Jei jūsų virtualioji mašina veikia 800 × 600 arba 1024 × 768, gali būti verta nustatyti įprastesnę skiriamąją gebą. Jei to nepadarysite, negalėsite būti tikri, ar tikrinamame faile įdiegta ši apsaugos nuo VM priemonė.