I årenes løb har malware-udviklere og cybersikkerhedseksperter været i krig med at prøve at finde hinanden op. For nylig implementerede malware-udviklerfællesskabet en ny strategi om at undgå detektering: kontrol af skærmopløsningen.
Lad os undersøge, hvorfor skærmopløsning betyder noget for malware, og hvad det betyder for dig.
Hvorfor Malware bekymrer sig om skærmopløsning
For at finde ud af, hvorfor malware bekymrer sig om skærmopløsningen, er vi nødt til at se på en af dens værste fjender; det virtuel maskine Hvad er en virtuel maskine? Alt hvad du behøver at videVirtuelle maskiner giver dig mulighed for at køre andre operativsystemer på din nuværende computer. Her er hvad du skal vide om dem. Læs mere .
Virtuelle maskiner er et nyttigt værktøj for virusforskere. De fungerer som en "computer inde i en computer", så du kan bruge et andet operativsystem uden brug af en ny pc.
For eksempel, hvis du har en Windows 10-computer, men du vil bruge Linux, kan du konfigurere en virtuel maskine inde i Windows 10 til at køre Linux. Det fungerer som en Linux-maskine, men kører i et vindue i Windows 10.
Virtuelle maskiner er meget nyttige for virusforskere, da de fungerer som en digital venus-fældefælde. Hvis en forsker mener, at et program eller fil indeholder en virus, kan de teste den ved at køre den på en virtuel maskine.
Hvis filen indeholder en virus, begynder den at inficere den virtuelle maskine. Da en virtuel maskine er sat op som en rigtig, mener virusen, at den inficerer en rigtig pc og ikke en virtuel. Som sådan begynder den at levere sin nyttelast og skade på den virtuelle maskine. Heldigvis overfører ingen af de skader, en virus "overfører" til hovedcomputeren; det påvirker kun den virtuelle.
Når virussen har givet spillet væk, kan forskeren undersøge, hvordan det fungerer, og derefter nulstille den virtuelle maskine. De tager derefter det, de lærte fra den virtuelle maskine, og bruger det til at oprette virusdefinitioner for at beskytte folks virkelige computere.
På grund af dette er virtuelle maskiner bane for malware-udviklere. Hvis nogen har mistanke om, at et program har malware, kan de starte det op i en virtuel maskine og skrubbe det væk, hvis det er dårligt.
Hvor kommer skærmopløsning ind i dette?
Der er en fejl ved denne metode til test af apps. Når en malware-forsker opretter en virtuel maskine, er de ikke rigtig interesseret i alle de ekstra funktioner. Alt, hvad de har brug for for at teste for vira, er en virtuel maskine, der fungerer som en normal computer - alt andet er valgfrit.
Som et resultat installerer forskere undertiden ikke VM's gæstesoftware. Denne software muliggør yderligere funktioner, såsom højere skærmopløsninger, som forskeren ikke virkelig har brug for. Hvis brugeren ikke bruger gæstesoftwaren, låser VM typisk brugeren i en af to lave opløsninger: 800 × 600 og 1024 × 768.
Disse to opløsninger er vigtige for en malware-udvikler. Moderne computere og laptops leveres typisk ikke med skærme i den opløsning; det er meget forældet.
Faktisk kan du se, hvor forældet det er på StatCounter, som indsamler oplysninger om de mest anvendte opløsninger. I skrivende stund har opløsninger en tendens til at være større eller mindre end ovenstående VM-eksempler.
På den ene side af spektret har du standardopløsningen 1366 × 768 til bærbare computere og 1920 × 1080 til pc-skærme. På den anden side finder du små 360 × 640 skærme i brug - det er smartphones.
800 × 600 og 1024 × 768 vises slet ikke. Det modsatte af sidstnævnte, 768 × 1024, findes; dette er en iPad-opløsning. Selv dette tager kun 2,6 procent, hvilket betyder, at 97,4 procent af enhederne bruger forskellige opløsninger.
Hvordan malware bruger disse data til at undgå VM'er
Som sådan, når malware lander på en værtscomputer og bemærker, at den kører på enten 800 × 600 eller 1024 × 768, er det enten på meget forældet hardware eller - mere sandsynligt - de bliver set i en virtuel maskine.
Hvis virussen opererer under denne betingelse, giver den spillet væk lige under øjnene af en virusforsker. Som sådan, for at beskytte dets hemmeligheder, stopper malware i stedet for sig selv og gør ingen skade.
Fra forskerens perspektiv kørte programmet og inficerede ikke pc'en, så det skal være godartet. De kan derefter tildele en falsk negativ rapport til programmet, så malware kan rejse videre, før det endelig er fanget.
Eksempler på opløsningskontrol af malware i den virkelige verden
Trickbot er et glimrende eksempel på denne taktik ude i naturen. Forskere formåede at bryde ind i en for nylig stamme af TrickBots kode og analyserede, hvordan det fungerer. En Twitter-bruger kendt som Mak (@maciekkotowicz) fandt et stykke kode i TrickBot, der scanner efter en opløsning på 800 × 600 eller 1024 × 768.
dagens #Trickbot læssere med en skærmopløsning #antivm trick, hvis du har 800 × 600 eller 1024 × 768 opløsning - er du sikker! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30. juni 2020
I denne kodestykke griber virussen X- og Y-værdierne i computerens opløsning og kombinerer dem derefter for at se resultatet. Hvis resultatet svarer til enten 800 × 600 eller 1024 × 768, returnerer koden tallet 0. Dette fortæller malware, at det kører i en VM.
Når malware ved, at det findes i en virtuel maskine, ødelægger den selv for at undgå detektion. Som et resultat vil enhver, der tjekker for vira i en virtuel maskine, forkert betragte det som sikkert.
Hvad denne taktik betyder for dig
Naturligvis betyder det, at hvis du brugte en 1024 × 768 eller 800 × 600 opløsning, vil du have beskyttelse mod nogle stammer af malware. Så snart de ankommer, bemærker de din opløsning og sprænger sig selv, inden de gør skade. Men hvad du får i beskyttelse, vil du miste din sundhed ved at bruge en computer med en sådan trang opløsning!
Som sådan er dit bedste valg for at bekæmpe denne nye stamme af malware at opdatere din antivirus. Nu hvor dette anti-VM-trick er offentlig viden, er det usandsynligt, at avancerede sikkerhedsfirmaer bliver narret igen.
Dette er dog vigtigt at bemærke, hvis du har en tendens til at teste filer på dine egne virtuelle maskiner. Hvis din VM kører på 800 × 600 eller 1024 × 768, er det værd at indstille det til en mere populær opløsning. Hvis du ikke gør det, kan du ikke være sikker på, om den fil, du tester, har denne anti-VM-forholdsregel installeret.
Forbliver i sikkerhed mod lusede vira
Da cybersikkerhed bliver den enorme industri, som det er, er malware-udviklere nødt til at tilpasse sig for at forblive et skridt foran. Nye stammer af malware vil undgå indfangning, hvis de køres i en uforberedt VM, så hvis du bruger VM'er til virustesting, skal du huske dette.
Den bedste antivirus er sund fornuft, så hvorfor ikke lære det lette måder at aldrig få en virus på 10 nemme måder at aldrig få en virus påMed lidt grunduddannelse kan du helt undgå problemet med vira og malware på dine computere og mobile enheder. Nu kan du slappe af og nyde Internettet! Læs mere ?
Affiliate-afsløring: Ved at købe de produkter, vi anbefaler, hjælper du med at holde webstedet i live. Læs mere.
En kandidatgrad i datalogi med en dyb lidenskab for alle ting sikkerhed. Efter at have arbejdet i et indie-spilstudio, fandt han sin lidenskab for skrivning og besluttede at bruge sit færdigheds sæt til at skrive om alle ting, der var teknisk.