תוכנה זדונית יכולה כעת לזהות מכונות וירטואליות, ולאחר מכן ללכת כהה כמו מרגל המלחמה הקרה - מחשוב - 2019

Anonim

אחת הדרכים היעילות ביותר להתמודד עם זיהום תוכנה זדונית היא לוודא שזה מדביק משהו שלא יכול להיות השפעה רבה על שאר המערכת, כמו מכונה ארגז חול sandboxed. עם זאת, כמו תוכנות זדוניות ממשיכה להתפתח, היוצרים שלה עכשיו לגלות דרכים לזהות אם זה פשוט מבזבז את הזמן הדבקה מכונות וירטואליות, אז זה יכול ללכת אחרי מטרות לגיטימיות יותר.

התגלה על ידי Caleb Fenton עם חברת האבטחה SentinelOne (דרך ThreatPost), זו צורה חדשה של תוכנות זדוניות הוא מסוגל לרחרח החוצה כי הוא מתגורר כיום על מכונה וירטואלית. לכאורה זה עושה את זה על ידי ניתוח מספר מסמכים על המכונה. מספרים נמוכים היו מציעים צורה כלשהי של בדיקות הסביבה, אשר יכול להטות אותו כי זה sandboxed.

לאחר ביצוע כזה גילוי, תוכנות זדוניות הופך רדום, בכוונה מסתיר את עצמו כמיטב יכולתו כדי למנוע טכניקות זיהוי על ידי צוות אבטחה פוטנציאליים או כלים אוטומטיים. אמנם זה חתיכת מסוים של תוכנות זדוניות עלול להיות מיותר ליוצר בשלב זה, הימנעות זיהוי חשוב מאוד במצב כזה.

מידע נוסף: אזהרה מהמשטרה: לעולם אל תחבר תקע USB שתקבל בדואר

מאחר שחוקרי אבטחה יכולים להשתמש במכונות וירטואליות כדי ללמוד הרבה על תוכנה זדונית מבלי להסתכן בהתפשטות כלשהי של זיהום, שמירה על התוכנות המזיקות מתחת לעטיפות מאפשרת לשיבוטים להתרבות בטבע למשך זמן ארוך יותר.

בדוגמה אחת ספציפית שהתגלתה אצל פנטון, התוכנה הזדונית תבצע חיפוש במחשב עבור מסמכי Microsoft Word באמצעות פונקציית Windows Documents. אם הוא גילה שניים או יותר, זה היה ליזום ולהוריד את מטענה זדוניות. אם קבצים אלה לא נמצאו, הוא נסגר ומעמעם את מיקומו כדי לנסות להימנע ממידע.

כדי לנסות ולהימנע מחוקרי אבטחה חכמים שייתכן שהוסיפו מספר מסמכי Word למערכת כדי למנוע מעידה על ההמחאה, התוכנה הזדונית נגד ארגז החול מזהה גם את כתובת ה- IP של המערכת וחוצה אותה עם רשימה שחורה של כתובות של חברות אבטחה. שוב, אם הוא מוצא את עצמו בבטן של ה- IT אבטחה החיה, זה יהיה לעצור את כל הפעולות ולנסות להסתיר.

אמנם לא בדיוק ייחודי, טכניקות אלה הן חדשות למדי המייצגים את האבולוציה הבאה במלחמה המתמשכת בין כובעים לבנים ושחורים ברחבי העולם. הארכת החיים של תוכנה זדונית יכולה ללכת דרך ארוכה כדי לשפר את הכדאיות שלה כמו וקטור התקפה, לעתים קרובות יותר מאשר פשוט עושה את התוכנה הזדונית יותר לעצור.