Skozi leta so se razvijalci zlonamerne programske opreme in strokovnjaki za kibernetsko varnost borili med seboj. Pred kratkim je skupnost razvijalcev zlonamerne programske opreme uvedla novo strategijo zaznavanja izogibanja: preverjanje ločljivosti zaslona.

Preučimo, zakaj je ločljivost zaslona pomembna za zlonamerno programsko opremo in kaj to pomeni za vas.

Zakaj zlonamerna programska oprema skrbi za ločljivost zaslona

Da bi ugotovili, zakaj zlonamerna programska oprema skrbi za ločljivost zaslona, ​​si moramo ogledati enega svojih najhujših sovražnikov; the navidezni stroj Kaj je virtualni stroj? Vse, kar morate vedetiNavidezni stroji vam omogočajo zagon drugih operacijskih sistemov na vašem trenutnem računalniku. Tukaj je tisto, kar bi morali vedeti o njih. Preberi več .

Virtualni stroji so koristno orodje za raziskovalce virusov. Delujejo kot "računalnik znotraj računalnika", tako da lahko uporabite drug operacijski sistem, ne da bi potrebovali nov računalnik.

Na primer, če imate računalnik z operacijskim sistemom Windows 10, vendar želite uporabljati Linux, lahko v operacijskem sistemu Windows 10 nastavite navidezni stroj za zagon Linuxa. Deloval bo tako kot stroj Linux, vendar se izvaja v oknu v sistemu Windows 10.

instagram viewer

Virtualni stroji so zelo koristni za raziskovalce virusov, saj delujejo kot digitalna pasti za muho. Če raziskovalec verjame, da program ali datoteka vsebuje virus, ga lahko preizkusi tako, da ga zažene znotraj virtualnega stroja.

Če datoteka vsebuje virus, začne okužiti virtualni stroj. Ker je virtualni stroj nastavljen kot pravi, virus verjame, da okuži resnični računalnik in ne virtualni. Tako začne nalagati svojo uporabno obremenitev in delati škodo na virtualnem stroju. Na srečo nobena škoda, ki jo virus ne prenese, prenese na glavni računalnik; vpliva samo na virtualno.

Ko je virus oddal igro, lahko raziskovalec preuči, kako deluje, nato ponastavi virtualni stroj. Nato vzamejo, kar so se naučili od virtualnega stroja, in ga uporabijo za ustvarjanje definicij virusov za zaščito resničnih računalnikov ljudi.

Zaradi tega so virtualni stroji temelj razvijalcev zlonamerne programske opreme. Če nekdo sumi, da program vsebuje zlonamerno programsko opremo, ga lahko zažene v virtualni stroj in ga odstrani, če je slab.

Kje v to pride ločljivost zaslona?

Pri tej metodi testiranja aplikacij obstaja ena napaka. Ko raziskovalec zlonamerne programske opreme ustvari virtualni stroj, jih res ne zanimajo vse dodatne funkcije. Vse, kar potrebujejo za testiranje na viruse, je virtualni stroj, ki deluje kot običajen računalnik - vse drugo ni obvezno.

Kot rezultat, raziskovalci včasih ne namestijo programske opreme za goste v VM. Ta programska oprema omogoča dodatne funkcije, kot so višje ločljivosti zaslona, ​​ki jih raziskovalec res ne potrebuje. Če uporabnik ne uporablja programske opreme za goste, VM uporabnika običajno zaklene v eno od dveh nizkih ločljivosti: 800 × 600 in 1024 × 768.

Ti dve resoluciji sta pomembni za razvijalca zlonamerne programske opreme. Sodobni računalniki in prenosni računalniki običajno nimajo zaslonov pri tej ločljivosti; je zelo zastarel

Graf iz Statcounterja, ki prikazuje priljubljenost ločljivosti

Pravzaprav lahko vidite, kako zastara Statcounter, ki zbira podatke o najbolj uporabljenih resolucijah. V času pisanja so resolucije ponavadi večje ali manjše od zgornjih primerov VM.

Na eni strani spektra imate standardno ločljivost 1366 × 768 za prenosnike in 1920 × 1080 za monitorje računalnika. Na drugi strani pa boste našli v uporabi drobne zaslone 360 ​​× 640 - to so pametni telefoni.

800 × 600 in 1024 × 768 se sploh ne prikazujejo. Hrbtna stran slednjega, 768 × 1024, obstaja; to je iPad ločljivost. Vendar tudi to zavzame le 2,6 odstotka, kar pomeni, da 97,4 odstotka naprav uporablja različne ločljivosti.

Kako zlonamerna programska oprema uporablja te podatke, da bi se izognili VM-om

Ko zlonamerna programska oprema pristane na gostiteljskem računalniku in ugotavlja, da deluje na 800 × 600 ali 1024 × 768, bodisi na zelo zastareli strojni opremi bodisi - bolj verjetno - jih gledajo v virtualni stroj.

Če virus deluje pod temi pogoji, bo igro dal takoj pod oči raziskovalca virusa. Zaradi tega se z namenom varovanja svojih skrivnosti zlonamerna programska oprema namesto tega samoprekine in ne škodi.

Program je z vidika raziskovalca tekel in ni okužil računalnika, zato mora biti dober. Nato lahko za program dodelijo lažno negativno poročilo in tako zlonamerni programici omogočijo, da potuje dlje, preden je končno ujeta.

Primeri preverjanja ločljivosti zlonamerne programske opreme v resničnem svetu

Trickbot je odličen primer te taktike v naravi. Raziskovalcem je uspelo vdreti v nedavni sev kode TrickBot in analizirati, kako deluje. En uporabnik Twitterja, znan kot Mak (@maciekkotowicz), je v TrickBotu našel delček kode, ki pregleda ločljivost 800 × 600 ali 1024 × 768.

Današnji #Trickbot nakladalci z ločljivostjo zaslona #antivm trik, če imate ločljivost 800 × 600 ali 1024 × 768 - ste varni! ;] ccm @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0

- mak (@maciekkotowicz) 30. junij 2020

V tem kosu kode virus zajame vrednosti X in Y ločljivosti računalnika in jih nato združi, da vidi rezultat. Če je rezultat enak 800 × 600 ali 1024 × 768, koda vrne številko 0. To pove zlonamerni programski opremi, da se izvaja v VM-ju.

Ko zlonamerna programska oprema ve, da je znotraj navideznega stroja, se samouniči, da se izogne ​​odkrivanju. Posledično bo vsakdo, ki preverja viruse v virtualnem stroju, napačno ocenil kot varnega.

Kaj ta taktika pomeni za vas

To seveda pomeni, da če boste uporabili ločljivost 1024 × 768 ali 800 × 600, boste imeli zaščito pred nekaterimi sevi zlonamerne programske opreme. Takoj, ko prispejo, bodo zapisali vašo ločljivost in se sami detonirali, preden bodo naredili škodo. Vendar, kar boste pridobili z zaščito, boste z uporabo računalnika s tako utesnjeno ločljivostjo izgubili razum!

Zato je vaša najboljša stava za boj proti temu novemu škodljivemu programu posodobitev protivirusnega programa. Zdaj, ko je ta trik proti VM javno znanje, je malo verjetno, da se bodo varnostna podjetja višjega razreda spet zavedela.

Vendar je to pomembno opozoriti, če imate nagnje k preizkušanju datotek v lastnih virtualnih strojih. Če vaš VM deluje pri 800 × 600 ali 1024 × 768, ga je vredno nastaviti na bolj priljubljeno ločljivost. Če ne, ne morete biti prepričani, ali je v datoteki, ki jo preskušate, nameščen ta previdnostni način proti VM.

Če ste varni pred podivjanimi virusi

Ker je kibernetska varnost postala velika panoga, ki jo predstavljajo, se morajo razvijalci zlonamerne programske opreme prilagoditi, da ostanejo korak naprej. Novi sevi zlonamerne programske opreme se bodo izognili zajemanju, če se bodo izvajali v nepripravljenem VM-ju, tako da, če uporabljate VM za testiranje virusov, to ne pozabite.

Najboljši antivirus je zdrav razum, zato se tega ne naučite enostavni načini, da nikoli ne pride do virusa 10 enostavnih načinov, da nikoli ne dobite virusaZ malo osnovnega usposabljanja se lahko popolnoma izognete težavi virusov in zlonamerne programske opreme v računalnikih in mobilnih napravah. Zdaj se lahko umirite in uživate v internetu! Preberi več ?

Razkritje podružnic: Z nakupom izdelkov, ki jih priporočamo, pomagate ohranjati spletno mesto v življenju. Preberi več.

Diplomirani študent iz računalništva, z globoko strastjo do varnosti. Po delu v studiu za indie igre je našel strast do pisanja in se odločil, da bo s svojimi spretnostmi pisal o vseh tehnoloških stvareh.