Вредоносы стали обходить виртуальные системы для автоматического анализа угроз и распознавать тип системы.
Специалисты в области кибербезопасности уже много лет используют виртуальные машины. Это позволяет им комфортно анализировать вредоносное ПО, уменьшая при этом риск заражения и избавляя от необходимости переустановки систем после каждого запуска.
В последнее время виртуальными машинами (ВМ) стали пользоваться все больше людей. К примеру, службы поддержки пользователей чаще начали использовать ВМ для большей защиты персональных данных клиентов.
Исследователи из Symantec проверили защищенность виртуальных машин, попытавшись заразить их различными видами вредоносов. Ранее при обнаружении виртуальной машины вредоносное ПО автоматически завершало работу, но в последнее время случаи заражения ВМ лишь участились.
При написании вредоносного ПО преступники добавляют в код собственных вредоносов способы проверки, реальная ли используется система или виртуальная. Чаще всего для этого выполняются следующие проверки:
Проверка MAC-адреса адаптера виртуальной сети для определения изготовителя
Проверка ряда ключей системного реестра, присутствующих лишь в виртуальных машинах
Проверка наличия специального ПО для виртуальных машин (наподобие VMWare Tools)
Проверка некоторых процессов и имен служб
Проверка поведения портов связи
Выполнение специфического ассемблерного кода и сравнение результатов
Проверка местонахождения системных структур (к примеру, таблиц дескриптора)
Обычно вредоносы проверяются на специализированных автоматических виртуальных машинах. Для успешного прохождения такой проверки требуется, чтобы программа не проявляла вредоносной активности в течение определенного времени (несколько минут). В связи с этим авторы вредоносного ПО добавили функцию условной активации – вредонос активируется лишь после нескольких перезагрузок виртуальной машины или после совершения определенного количества щелчков мышью. Добавление таких методов обхода автоматической проверки значительно усложнило жизнь антивирусным специалистам.
В некоторых случаях запущенное на ВМ вредоносное ПО определяло, что оно запущено на виртуальной машине, и начинало проверять системный реестр на несуществующие в нем записи. В других случаях использовался специальный паковщик, проверяющий тип системы при запуске.
В качестве доказательства исследователи Symantec проанализировали 200000 подозрительных файлов, присланных их клиентами для анализа в течение последних 2 лет. Каждый из них был запущен как на реальном ПК, так и на виртуальной системе. В результате было определено, что количество вредоносов, определяющих тип системы при запуске, составляет в среднем 18%.
Количество вредоносов, запускающихся на виртуальных машинах, увеличилось
Вредоносы стали обходить виртуальные системы для автоматического анализа угроз и распознавать тип системы.Вредоносы стали обходить виртуальные системы для автоматического анализа угроз и расТакже по теме: