Компютърните вируси стават все по-умни

0
49
Malware


Съвременните вируси стават все по-умни и вече дсори проверяват дали ги тестват или са във виртуална среда.

Последните версии на Ursnif например, който се разпространи този месец прикачен към спам имейли, под формата на макрос за Microsoft Office, показват, че преди да свали и инсталира малуера, макро скриптовете правят серия от проверки, които да установят дали се намират в реална или изолирана среда или във виртуална машина.

Изследователите от Proofpoint са установили две проверки, които не са виждани до този момент. Първата проверка е за уникални символи в имената на локалните файлове. Макро скриптът следи дали имената на локалните файлове съдържат само символи от шестнайсетичната бройна система. Това се прави, защото файловете, които са в изолирана среда или във виртуална машина често биват преименувани според SHA256 или MD5 хаша, което улеснява изследователите да ги следят по-отблизо. Хашовете на SHA256 или MD5 биват създавани само по шестнадесетичната бройна система. Ако скриптът установи символи извън тази система, той разбира, че се намира в реална машина и започва изтеглянето и инсталирането на малуера.

Втората проверка е още по-хитра, като макро скриптът използва Application.Tasks. Изпълнява функция, която да му даде информация колко процеса са стартирани в момента на локалната операционна система, използващи графичен интерфейс. Ако скриптът получи информация, че те са по-малко от 50, той спира, защото има вероятност да се намира в тестова изолирана среда. Една бърза проверка на реална система показва, че обикновено подобни процеси, използващи графичен интерфейс, почти винаги са над 50, докато тестовите системи с изолирана среда са оптимизирани да имат колкото се може по-малко такива процеси, обясняват изследователите от Proofpoint.

Освен тези две проверки, скриптът изпълнява още две проверки, които са относително нови, но вече са срещани. Първо се прави проверка за имена от предварително подготвен списък на производители на виртуални машини или софтуер за reverse engineering. След това скриптът използва Maxmind API, за да разбере IP адреса на потребителя и го сравнява с база данни на IP адреси на различни фирми по сигурността или дейта центрове, където обикновено са разположени виртуалните машини и необходимите инструменти на изследователите по сигурността.

Прочетете още:  От Facebook работят по собствена криптовалута

Последната проверка е забелязана за пръв път тази година през юни месец от Proofpoint и Zscaler. Заедно с използването на Maxmind API, екипите на [url=https://www.proofpoint.com/us/threat-in … new-dridex“ target=“_blank“ rel=“nofollow]Proofpoint[/url] и [url=https://www.zscaler.com/blogs/research/ … techniques“ target=“_blank“ rel=“nofollow]Zscaler[/url] са открили макро скриптове, които правят заявки за търсене на наскоро отваряни файлове. Ако тези файлове са под три, скриптът разбира, че евентуално се намира в наскоро инсталирана виртуална машина, където може да бъде изследван обстойно и спира процеса по инсталация, за да не бъде засечен.

Тогава от Proofpoint засякоха подобни проверки при банковия троянец Dridex, а екипът на Zscaler е засякъл отново през юни месец подобни проверки при троянеците Matsnu, Nitol и криптовируса (ransomware) Nymaim.

Оттогава насам тези две проверки – за наскоро отворени файлове и използването на Maxmind API за откриването на IP адреса – са станали стандартна практика при модерните вируси, което се потвърждава и от доклад на [url=https://sentinelone.com/blogs/anti-vm-tricks/“ target=“_blank“ rel=“nofollow]SentinelOne[/url] от този месец, където се съобщава, че дори и най-елементарните кийлогъре вече използват тези проверки.

0/5 (0 Reviews)