Шкідливе програмне забезпечення тепер може виявити віртуальні машини, а потім перейти темно, як шпигун "холодної війни" - Обчислення - 2019

Anonim

Один із найбільш ефективних способів боротьби з інфікуванням шкідливих програм - переконатись, що він заражає те, що не може значною мірою впливати на решту системи, наприклад на ізольовану віртуальну машину. Однак оскільки шкідливе програмне забезпечення продовжує розвиватися, його творці зараз виявляють способи виявлення того, чи просто витрачають свій час на зараження віртуальними машинами, так що він може йти за більш законними цілями.

Ця нова форма зловмисного програмного забезпечення, виявлена ​​Калебом Фентоном із фірмою Security SentinelOne (через ThreatPost), здатна вистежити, що вона в даний час проживає на віртуальній машині. Ймовірно, це робиться, аналізуючи кількість документів на машині. Низькі цифри пропонують певну форму середовища тестування, що може призвести до того, що це пісочниця.

Після такого відкриття шкідливе програмне забезпечення стає сплячею, навмисно приховуючи себе як можна краще, щоб уникнути будь-яких методів виявлення потенційними працівниками служби безпеки або автоматичними інструментами. Хоча цей конкретний шматочок шкідливого програмного забезпечення може стати зайвим для творця на цьому етапі, уникнення виявлення є неймовірно важливим у такій ситуації.

Пов'язані: Попередження з боку міліції: Ніколи не підключайте USB-накопичувач, який ви отримуєте поштою

Оскільки дослідники з безпеки можуть використовувати віртуальні машини, щоб навчитися багато чого про шматочок шкідливого програмного забезпечення, не ризикуючи розповсюджувати інфекцію, зберігаючи погане програмне забезпечення під обгортанням, це дозволяє своїм клонам розростатися в дикій природі трохи довше.

У одному конкретному прикладі, який виявив Фентон, шкідлива програма шукатиме машину для документів Microsoft Word за допомогою функції "Останні документи Windows". Якщо він виявив два або більше, він буде ініціювати та завантажувати його зловмисне завантаження. Якщо ці файли не були знайдені, він вимикається та перекриває своє місцезнаходження, щоб спробувати уникнути виявлення.

Щоб спробувати уникати інтелектуальних дослідників безпеки, які, можливо, додали до системи декілька документів Word, щоб уникнути відключення цієї перевірки, антишпионська шкідлива програма також виявляє IP-адресу системи та перетинає посилання з відомим чорним списком адрес фірми безпеки. Знову ж таки, якщо він опиняється в животі у звірі безпеки ІТ, він зупинить всі дії та спробує приховати.

Хоча це і не точно унікальне, ці методи є досить новими і представляють собою наступну еволюцію в триваючої війні між білими і чорними капелюхами по всьому світу. Продовження життя шкідливого програмного забезпечення може тривати довгий шлях для підвищення її життєздатності як вектора атаки, часто навіть більше, ніж просто зробити шкідливе програмне забезпечення більш важким для зупинки.