Kako zlonamerna programska oprema izkorišča ločljivost zaslona, ​​da se izogne ​​odkrivanju

Že leta imajo razvijalci zlonamerne programske opreme in strokovnjaki za kibernetsko varnost napete spopade. Pred kratkim je skupnost razvijalcev zlonamerne programske opreme uvedla novo strategijo za preprečevanje odkrivanja: preverite ločljivost zaslona.

Raziščimo, zakaj je ločljivost zaslona pomembna za zlonamerno programsko opremo in kaj to pomeni za vas.

Zakaj zlonamerna programska oprema skrbi za ločljivost zaslona?

Če želite razumeti, zakaj zlonamerna programska oprema skrbi za ločljivost zaslona, ​​razmislite o enem od sovražnikov zlonamerne programske opreme: virtualnih strojih .

Virtualni stroji so koristno orodje za raziskovalce virusov. Delujejo kot en računalnik v drugem, tako da lahko uporabljate drug operacijski sistem, ne da bi potrebovali nov računalnik.

Na primer, če imate računalnik z operacijskim sistemom Windows 10, vendar želite uporabljati Linux, lahko nastavite navidezni stroj v sistemu Windows 10 za izvajanje Linuxa. Deloval bo kot računalnik z Linuxom, vendar se bo izvajal v oknu v sistemu Windows 10.

• 7 načinov za pomoč pri zagonu programske opreme Linux v sistemu Windows

Virtualni stroji so zelo uporabni za raziskovalce virusov, saj delujejo kot digitalna past za muhe. Če raziskovalec meni, da program ali datoteka vsebuje virus, jo lahko preizkusi tako, da jo zažene v virtualnem računalniku.

Če datoteka vsebuje virus, bo začela okužiti virtualni stroj. Ker je virtualni stroj nastavljen tako, da izgleda kot pravi stroj, virus verjame, da je okužil pravi računalnik, ne virtualnega stroja. Kot tak začne dostavljati svoj tovor in povzročati škodo virtualnemu stroju. Na srečo ni nobene škode, ki bi jo virus lahko povzročil glavnemu računalniku. Vpliva le na virtualne stroje.

Ko je virus razkrit, se lahko raziskovalci naučijo, kako deluje, in nato ponastavijo virtualni stroj. Nato so vzeli, kar so se naučili iz virtualnega stroja, in jih uporabili za ustvarjanje definicij virusov za zaščito uporabnikov v resničnih računalnikih. Zaradi tega so virtualni stroji sovražni do razvijalcev zlonamerne programske opreme.

Kakšno vlogo ima pri tem ločljivost zaslona?

Ta metoda testiranja aplikacije ima napako. Ko raziskovalci zlonamerne programske opreme ustvarijo virtualni stroj, jih pravzaprav ne zanimajo vse dodatne funkcije. Vse, kar potrebujejo za testiranje virusov, je navidezni stroj, ki deluje kot običajen računalnik, vse ostalo je le izbirno.

Posledično raziskovalci včasih ne namestijo gostujoče programske opreme VM. Ta programska oprema je omogočila dodatne funkcije, kot je višja ločljivost zaslona, ​​ki je raziskovalec pravzaprav ni potreboval. Če uporabnik ne uporablja odjemalske programske opreme, ga VM običajno zaklene na eno od dveh nizkih ločljivosti: 800x600 in 1024x768.

Ti dve resoluciji sta zelo pomembni za razvijalca zlonamerne programske opreme. Sodobni računalniki in prenosniki pogosto nimajo zaslonov s to ločljivostjo. Ta velikost je zelo zastarela.

Priljubljene ločljivosti naprav

Kako zlonamerna programska oprema uporablja te podatke, da se izogne ​​navideznim računalnikom?

Ko se zlonamerna programska oprema pojavi na gostiteljskem računalniku in se opazi, da deluje v ločljivosti 800 × 600 ali 1024 × 768, to pomeni, da se zlonamerna programska oprema verjetno izvaja na zelo zastareli ali potencialno zmogljivi strojni opremi. .

Če virus deluje pod temi pogoji, bo izpostavljen. Da bi se tako zaščitili, bo zlonamerna programska oprema prenehala delovati sama in ne bo povzročila škode.

Z vidika raziskovalca je program deloval in ni okužil osebnega računalnika, torej ni šlo za virus. Nato lahko naredijo napačne domneve o programu, kar zlonamerni programski opremi omogoči, da potuje dlje, preden jo odkrijejo.

Primer testiranja zlonamerne programske opreme v resničnem svetu

Trickbot je odličen primer te taktike v akciji. Raziskovalcem je nedavno uspelo vdreti v kodo TrickBot in analizirati, kako deluje. Uporabnik Twitterja z imenom Mak (@maciekkotowicz) je v TrickBotu našel kodo, ki skenira ločljivost 800×600 ali 1024×768.

Koda v TrickBotu skenira v ločljivosti 800×600 ali 1024×768

V tej kodi virus vzame vrednosti X in Y ločljivosti računalnika, nato pa ju združi, da vidi rezultat. Če je rezultat 800 × 600 ali 1024 × 768, bo koda vrnila 0. To pomeni, da se zlonamerna programska oprema izvaja v virtualnem računalniku.

Ko zlonamerna programska oprema ve, da je v virtualnem stroju, se samouniči, da se izogne ​​odkrivanju. Posledično bo vsakdo, ki preverja viruse v virtualnem stroju, imel za varnega.

Kaj vam ta strategija pomeni?

Seveda to pomeni, da boste, če uporabljate ločljivost 1024x768 ali 800x600, zaščiteni pred nekaterimi vrstami zlonamerne programske opreme. Takoj ko dosežejo sistem, bodo opazili vašo ločljivost in se samouničili, preden bodo povzročili kakršno koli škodo. Za to zaščito pa boste morali uporabiti računalnik z zelo majhno ločljivostjo!

Kot tak je najboljši način za boj proti tej novi vrsti zlonamerne programske opreme posodobitev vaše protivirusne programske opreme . Zdaj je ta trik proti VM javno znan, zato je zelo malo verjetno, da bodo vrhunska varnostna podjetja spet preslepljena.

Vendar je to še posebej pomembno upoštevati, če preverjate datoteke v svojih virtualnih strojih. Če vaš virtualni stroj deluje pri 800 × 600 ali 1024 × 768, ga je morda vredno nastaviti na običajnejšo ločljivost. Če tega ne storite, je nemogoče biti prepričan, ali ima datoteka, ki jo preverjate, nameščen ta varnostni ukrep proti VM.