In de loop der jaren hebben malware-ontwikkelaars en cybersecurity-experts oorlog gevoerd om elkaar op één lijn te krijgen. Onlangs heeft de gemeenschap van malware-ontwikkelaars een nieuwe strategie ingezet om detectie te omzeilen: het controleren van de schermresolutie.
Laten we eens kijken waarom schermresolutie belangrijk is voor malware en wat dit voor u betekent.
Waarom Malware om schermresolutie geeft
Om erachter te komen waarom malware om de schermresolutie geeft, moeten we een kijkje nemen bij een van de ergste vijanden; de virtuele machine Wat is een virtuele machine? Alles wat u moet wetenMet virtuele machines kunt u andere besturingssystemen op uw huidige computer uitvoeren. Dit is wat u over hen moet weten. Lees verder .
Virtuele machines zijn een handig hulpmiddel voor virusonderzoekers. Ze fungeren als een "computer in een computer", zodat u een ander besturingssysteem kunt gebruiken zonder dat u een nieuwe pc nodig heeft.
Als u bijvoorbeeld een Windows 10-computer heeft maar Linux wilt gebruiken, kunt u een virtuele machine in Windows 10 instellen om Linux uit te voeren. Het werkt net als een Linux-machine, maar werkt in een venster in Windows 10.
Virtuele machines zijn zeer nuttig voor virusonderzoekers, omdat ze fungeren als een digitale venusvliegenval. Als een onderzoeker denkt dat een programma of bestand een virus bevat, kan hij het testen door het binnen een virtuele machine uit te voeren.
Als het bestand een virus bevat, begint het de virtuele machine te infecteren. Omdat een virtuele machine is opgezet als een echte, gelooft het virus dat het een echte pc infecteert en niet een virtuele. Als zodanig begint het zijn lading te leveren en schade aan te richten aan de virtuele machine. Gelukkig draagt geen van de schade die een virus aanricht aan de hoofdcomputer; het heeft alleen invloed op de virtuele.
Zodra het virus het spel heeft weggegeven, kan de onderzoeker bestuderen hoe het werkt en vervolgens de virtuele machine resetten. Vervolgens nemen ze wat ze van de virtuele machine hebben geleerd en gebruiken ze om virusdefinities te maken om de echte computers van mensen te beschermen.
Hierdoor zijn virtuele machines de vloek van ontwikkelaars van malware. Als iemand vermoedt dat een programma malware herbergt, kunnen ze het opstarten op een virtuele machine en het wegschrapen als het slecht is.
Waar komt schermresolutie in terecht?
Er is een fout met deze methode om apps te testen. Wanneer een malwareonderzoeker een virtuele machine maakt, zijn ze niet echt geïnteresseerd in alle extra functies. Het enige dat ze nodig hebben om op virussen te testen, is een virtuele machine die werkt als een normale computer - al het andere is optioneel.
Als gevolg hiervan installeren onderzoekers soms niet de gastsoftware van de VM. Deze software maakt extra functies mogelijk, zoals hogere schermresoluties, die de onderzoeker niet echt nodig heeft. Als de gebruiker de gastsoftware niet gebruikt, vergrendelt de VM de gebruiker doorgaans in een van de twee lage resoluties: 800 × 600 en 1024 × 768.
Deze twee resoluties zijn belangrijk voor een malware-ontwikkelaar. Moderne computers en laptops worden doorgaans niet geleverd met schermen met die resolutie; het is erg verouderd.
Je kunt zelfs zien hoe verouderd het is Statcounter, die informatie verzamelt over de meest gebruikte resoluties. Op het moment van schrijven zijn resoluties meestal groter of kleiner dan de bovenstaande VM-voorbeelden.
Aan de ene kant van het spectrum heb je de standaard 1366 × 768 resolutie voor laptops en 1920 × 1080 voor pc-monitoren. Aan de andere kant vind je kleine 360 × 640-schermen in gebruik - dat zijn smartphones.
800 × 600 en 1024 × 768 worden helemaal niet weergegeven. Het omgekeerde van het laatste, 768 × 1024, bestaat wel; dit is een iPad-resolutie. Maar zelfs dit neemt slechts 2,6 procent in beslag, wat betekent dat 97,4 procent van de apparaten verschillende resoluties gebruikt.
Hoe malware deze gegevens gebruikt om VM's te vermijden
Als zodanig, wanneer malware op een hostcomputer terechtkomt en opmerkt dat deze wordt uitgevoerd op 800 × 600 of 1024 × 768, het is op zeer verouderde hardware of - waarschijnlijker - ze worden bekeken in een virtuele omgeving machine.
Als het virus onder deze omstandigheden werkt, wordt het spel direct onder de ogen van een virusonderzoeker weggegeven. Als zodanig, om zijn geheimen te beschermen, beëindigt de malware zichzelf en beschadigt deze niet.
Vanuit het perspectief van de onderzoeker liep het programma en infecteerde het de pc niet, dus het moet goedaardig zijn. Ze kunnen dan een vals-negatief rapport voor het programma toewijzen, waardoor de malware verder kan reizen voordat het uiteindelijk wordt opgemerkt.
Voorbeelden van malware die de resolutie controleert in de echte wereld
Trickbot is een uitstekend voorbeeld van deze tactiek in het wild. Onderzoekers slaagden erin om in te breken in een recente stam van de TrickBot-code en analyseerden hoe deze werkt. Een Twitter-gebruiker bekend als Mak (@maciekkotowicz) vond een stuk code in TrickBot dat scant naar een resolutie van 800 × 600 of 1024 × 768.
Vandaag #Trickbot laders met een schermresolutie #antivm truc, als je een resolutie van 800 × 600 of 1024 × 768 hebt, ben je veilig! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30 juni 2020
In dit stuk code pakt het virus de X- en Y-waarden van de computerresolutie en combineert ze vervolgens om het resultaat te zien. Als het resultaat 800 × 600 of 1024 × 768 is, retourneert de code het getal 0. Dit vertelt de malware dat het op een VM draait.
Zodra de malware weet dat deze zich in een virtuele machine bevindt, vernietigt deze zichzelf om detectie te voorkomen. Dientengevolge zal iedereen die op virussen in een virtuele machine controleert, het ten onrechte als veilig beschouwen.
Wat deze tactiek voor u betekent
Dit betekent natuurlijk dat als u een resolutie van 1024 × 768 of 800 × 600 gebruikt, u bescherming zult hebben tegen bepaalde soorten malware. Zodra ze aankomen, zullen ze je resolutie opmerken en zichzelf tot ontploffing brengen voordat ze schade aanrichten. Wat u echter aan bescherming wint, verliest u in uw gezond verstand door een computer met zo'n krappe resolutie te gebruiken!
Als zodanig is uw beste gok om deze nieuwe soort malware te bestrijden, het bijwerken van uw antivirusprogramma. Nu deze anti-VM-truc algemeen bekend is, is het onwaarschijnlijk dat de high-end beveiligingsbedrijven opnieuw voor de gek worden gehouden.
Dit is echter belangrijk om op te merken als u de neiging heeft om bestanden in uw eigen virtuele machines uit te testen. Als uw VM op 800 × 600 of 1024 × 768 draait, is het de moeite waard om deze in te stellen op een meer populaire resolutie. Als u dit niet doet, kunt u er niet zeker van zijn of in het bestand dat u test deze anti-VM-voorzorgsmaatregel is geïnstalleerd.
Veilig blijven voor stiekeme virussen
Nu cyberbeveiliging de enorme industrie wordt die het is, moeten malware-ontwikkelaars zich aanpassen om een stap voor te blijven. Nieuwe malwarestammen zullen vastlopen voorkomen als ze op een onvoorbereide VM worden uitgevoerd, dus als u VM's gebruikt voor het testen van virussen, moet u hier rekening mee houden.
De beste antivirus is gezond verstand, dus waarom zou u het niet leren eenvoudige manieren om nooit een virus te krijgen 10 eenvoudige manieren om nooit een virus te krijgenMet een beetje basistraining kunt u het probleem van virussen en malware op uw computers en mobiele apparaten volledig vermijden. Nu kunt u kalmeren en genieten van internet! Lees verder ?
Openbaarmaking van partners: Door de producten te kopen die we aanbevelen, helpt u de site in leven te houden. Lees verder.
Een afgestudeerde computerwetenschappen met een diepe passie voor alles wat met beveiliging te maken heeft. Nadat hij voor een indie-gamestudio had gewerkt, vond hij zijn passie voor schrijven en besloot hij zijn vaardigheden te gebruiken om over alles over technologie te schrijven.
