Gadu gaitā ļaunprātīgas programmatūras izstrādātāji un kiberdrošības eksperti karoja, mēģinot savstarpēji vienoties. Nesen ļaunprātīgas programmatūras izstrādātāju kopiena ieviesa jaunu stratēģiju, lai izvairītos no atklāšanas: pārbaudītu ekrāna izšķirtspēju.
Izpētīsim, kāpēc ekrāna izšķirtspēja ir nozīmīga ļaunprogrammatūrai un ko tā nozīmē jums.
Kāpēc ļaunprogrammatūra rūpējas par ekrāna izšķirtspēju
Lai uzzinātu, kāpēc ļaunprogrammatūra rūpējas par ekrāna izšķirtspēju, mums ir jāaplūko viens no tās ļaunākajiem ienaidniekiem; virtuālā iekārta Kas ir virtuālā mašīna? Viss, kas jums jāzinaVirtuālās mašīnas ļauj pašreizējā datorā palaist citas operētājsistēmas. Lūk, kas jums būtu jāzina par viņiem. Lasīt vairāk .
Virtuālās mašīnas ir noderīgs rīks vīrusu pētniekiem. Tie darbojas kā “dators datora iekšpusē”, tāpēc jūs varat izmantot citu operētājsistēmu, neprasot jaunu datoru.
Piemēram, ja jums ir Windows 10 dators, bet vēlaties izmantot Linux, Windows 10 iekšpusē varat iestatīt virtuālo mašīnu, lai darbinātu Linux. Tas darbosies tāpat kā Linux mašīna, bet darbojas Windows 10 logā.
Virtuālās mašīnas ir ļoti noderīgas vīrusu pētniekiem, jo tās darbojas kā digitālās vēnu mušu slazds. Ja pētnieks uzskata, ka programma vai fails satur vīrusu, viņi to var pārbaudīt, palaižot to virtuālajā mašīnā.
Ja failā ir vīruss, tas sāks inficēt virtuālo mašīnu. Tā kā virtuālā mašīna ir iestatīta kā īsta, vīruss uzskata, ka tā inficē reālu datoru, nevis virtuālu. Kā tāds tas sāk piegādāt savu kravu un nodarīt kaitējumu virtuālajai mašīnai. Par laimi, neviens no vīrusu nodarītajiem zaudējumiem "nenodod" galveno datoru; tas ietekmē tikai virtuālo.
Kad vīruss ir atdevis spēli, pētnieks var izpētīt, kā tā darbojas, pēc tam atiestatīt virtuālo mašīnu. Pēc tam viņi ņem no virtuālās mašīnas uzzināto un izmanto to, lai izveidotu vīrusu definīcijas, lai aizsargātu cilvēku reālos datorus.
Sakarā ar to virtuālās mašīnas ir ļaunprātīgas programmatūras izstrādātāju pūlis. Ja kādam rodas aizdomas, ka programmā ir ļaunprātīga programmatūra, viņš to var ielādēt virtuālajā mašīnā un noņemt, ja tā ir slikta.
Kur šajā gadījumā tiek izmantota ekrāna izšķirtspēja?
Šajā lietotņu testēšanas metodē ir viens trūkums. Kad ļaunprātīgas programmatūras pētnieks izveido virtuālu mašīnu, viņus īsti neinteresē visas papildu funkcijas. Lai pārbaudītu vīrusus, ir nepieciešama tikai virtuāla mašīna, kas darbojas kā parasts dators - viss pārējais nav obligāts.
Tā rezultātā pētnieki dažreiz neinstalē VM viesu programmatūru. Šī programmatūra nodrošina papildu funkcijas, piemēram, lielāku ekrāna izšķirtspēju, kuras pētniekam patiesībā nav vajadzīgas. Ja lietotājs neizmanto viesa programmatūru, VM parasti bloķē lietotāju vienā no divām zemām izšķirtspējām: 800 × 600 un 1024 × 768.
Šīs divas rezolūcijas ir svarīgas ļaunprātīgas programmatūras izstrādātājam. Mūsdienu datoriem un klēpjdatoriem parasti nav ekrānu ar tādu izšķirtspēju; tas ir ļoti novecojis.
Faktiski jūs varat redzēt, cik tas ir novecojis Statcounter, kas apkopo informāciju par visbiežāk izmantotajām izšķirtspējām. Rakstīšanas laikā izšķirtspēja parasti ir lielāka vai mazāka nekā iepriekš minētie VM piemēri.
Spektra vienā pusē klēpjdatoriem ir standarta izšķirtspēja 1366 × 768 un datoru monitoriem - 1920 × 1080. Otrā pusē atradīsit niecīgus lietotus ekrānus 360 × 640 - tie ir viedtālruņi.
800 × 600 un 1024 × 768 neparādās vispār. Pēdējā puse, 768 × 1024, pastāv; šī ir iPad izšķirtspēja. Tomēr pat tas aizņem tikai 2,6 procentus, kas nozīmē, ka 97,4 procenti ierīču izmanto atšķirīgas izšķirtspējas.
Kā ļaunprogrammatūra izmanto šos datus, lai izvairītos no VM
Kā tāds, kad ļaunprogrammatūra nonāk uz galvenā datora un atzīmē, ka tā darbojas vai nu ar 800 × 600 vai 1024 × 768, tas ir vai nu uz ļoti novecojušu aparatūru, vai - ticamāk - tos skatās virtuālā mašīna.
Ja vīruss darbojas saskaņā ar šo nosacījumu, tas iznīcina spēli tieši vīrusa pētnieka redzeslokā. Kā tāds, lai aizsargātu savus noslēpumus, ļaunprātīgā programmatūra tā vietā izbeidz darbību un nekaitē.
No pētnieka viedokļa programma darbojās un neinficēja datoru, tāpēc tai jābūt labdabīgai. Pēc tam viņi programmai var piešķirt nepatiesu negatīvu ziņojumu, ļaujot ļaunprogrammatūrai nokļūt tālāk, pirms tā beidzot tiek pieķerta.
Risinājumu pārbaudīšanas ļaundabīgās programmatūras piemēri reālajā pasaulē
Trickbot ir lielisks šīs taktikas piemērs savvaļā. Pētniekiem izdevās iedziļināties nesenajā TrickBot koda celmā un analizēja, kā tas darbojas. Viens Twitter lietotājs, kas pazīstams kā Mak (@maciekkotowicz), TrickBot atrada koda daļu, kas skenē izšķirtspēju 800 × 600 vai 1024 × 768.
Šodienas #Trickbot iekrāvēji ar ekrāna izšķirtspēju #antivm triks, ja jums ir izšķirtspēja 800 × 600 vai 1024 × 768 - jūs esat drošībā! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 2020. gada 30. jūnijs
Šajā koda daļā vīruss satver datora izšķirtspējas X un Y vērtības, pēc tam tās apvieno, lai redzētu rezultātu. Ja rezultāts ir vienāds ar 800 × 600 vai 1024 × 768, kods atgriež skaitli 0. Tas norāda uz ļaunprogrammatūru, ka tā darbojas virtuālajā mašīnā.
Tiklīdz ļaunprogrammatūra zina, ka tā atrodas virtuālajā mašīnā, tā sevi iznīcina, lai izvairītos no atklāšanas. Tā rezultātā ikviens, kurš virtuālajā mašīnā pārbauda vīrusus, kļūdaini uzskatīs to par drošu.
Ko šī taktika jums nozīmē
Protams, tas nozīmē, ka, ja izmantojāt izšķirtspēju 1024 × 768 vai 800 × 600, jums būs aizsardzība pret dažiem ļaunprātīgas programmatūras celmiem. Tiklīdz viņi ierodas, viņi pamanīs jūsu izšķirtspēju un paši detonēsies, pirms viņi nodarīs zaudējumus. Tomēr, ko iegūstat aizsardzībā, jūs zaudēsit savu saprātu, lietojot datoru ar tik ierobežotu izšķirtspēju!
Kā labākais jūsu labākais līdzeklis cīņā ar šo jauno ļaundabīgo programmu celmu ir atjaunināt pretvīrusu programmatūru. Tagad, kad šis anti-VM triks ir zināms sabiedrībai, maz ticams, ka augstākās klases drošības firmas atkal tiks apmānītas.
Tomēr tas ir svarīgi atzīmēt, ja jums ir tendence pārbaudīt failus savās virtuālajās mašīnās. Ja jūsu VM darbojas ar izmēru 800 × 600 vai 1024 × 768, ir vērts to iestatīt uz populārāku izšķirtspēju. Ja jums tas nav, jūs nevarat būt pārliecināts, vai pārbaudītajā failā ir uzstādīts šis pret VM piesardzības līdzeklis.
Esiet drošībā no nekrietniem vīrusiem
Tā kā kiberdrošība kļūst par milzīgu nozari, kas ir tā, ļaunprātīgas programmatūras izstrādātājiem ir jāpielāgojas, lai paliktu vienu soli priekšā. Jauni ļaunprātīgas programmatūras celmi ļaus izvairīties no uztveršanas, ja tiks palaisti nesagatavotā virtuālā mašīnā, tāpēc, ja vīrusu pārbaudei izmantojat virtuālos automātus, noteikti to paturiet prātā.
Vislabākais antivīruss ir veselais saprāts, kāpēc gan nemācīties vienkārši veidi, kā nekad neiegūt vīrusu 10 vienkārši veidi, kā nekad iegūt vīrusuIzmantojot nelielu pamatapmācību, jūs varat pilnībā izvairīties no vīrusu un ļaunprātīgas programmatūras problēmu datoros un mobilajās ierīcēs. Tagad jūs varat nomierināties un baudīt internetu! Lasīt vairāk ?
Filiāles atklāšana: Iegādājoties produktus, kurus mēs iesakām, jūs palīdzat vietnei saglabāt dzīvību. Lasīt vairāk.
Datorzinātnes bakalaura grāds ar dziļu aizraušanos ar visu lietu drošību. Pēc darba indie spēļu studijā viņš atrada aizraušanos ar rakstīšanu un nolēma izmantot savu prasmju kopumu visu lietu rakstīšanai.
