วิธีที่มัลแวร์ใช้ประโยชน์จากความละเอียดหน้าจอเพื่อหลีกเลี่ยงการตรวจจับ

หลายปีที่ผ่านมา นักพัฒนามัลแวร์และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ต้องเผชิญกับการเผชิญหน้าอันตึงเครียด ล่าสุดชุมชนการพัฒนามัลแวร์ได้ใช้กลยุทธ์ใหม่เพื่อหลีกเลี่ยงการตรวจจับ: ตรวจสอบความละเอียดของหน้าจอ

เรามาสำรวจว่าเหตุใดความละเอียดหน้าจอจึงมีความสำคัญต่อมัลแวร์และความหมายต่อคุณอย่างไร

เหตุใดมัลแวร์จึงสนใจความละเอียดหน้าจอ

หากต้องการทำความเข้าใจว่าเหตุใดมัลแวร์จึงให้ความสำคัญกับความละเอียดของหน้าจอ ลองพิจารณาตัวซวยของมัลแวร์ตัวหนึ่ง: เครื่องเสมือน

เครื่องเสมือนเป็นเครื่องมือที่มีประโยชน์สำหรับนักวิจัยไวรัส ทำงานเหมือนกับคอมพิวเตอร์เครื่องหนึ่งภายในอีกเครื่องหนึ่ง คุณจึงสามารถใช้ระบบปฏิบัติการอื่นได้โดยไม่จำเป็นต้องใช้พีซีเครื่องใหม่

ตัวอย่างเช่น หากคุณมีคอมพิวเตอร์ Windows 10 แต่ต้องการใช้ Linux คุณสามารถตั้งค่าเครื่องเสมือนภายใน Windows 10 เพื่อเรียกใช้ Linux ได้ มันจะทำงานเหมือนกับคอมพิวเตอร์ Linux แต่ทำงานในหน้าต่างบน Windows 10

• 7 วิธีในการช่วยรันซอฟต์แวร์ Linux บน Windows

เครื่องเสมือนมีประโยชน์มากสำหรับนักวิจัยไวรัส เนื่องจากเครื่องเสมือนทำหน้าที่เหมือนกับดักแมลงวันแบบดิจิทัล หากนักวิจัยเชื่อว่าโปรแกรมหรือไฟล์มีไวรัส พวกเขาสามารถทดสอบได้โดยการรันในเครื่องเสมือน

หากไฟล์มีไวรัส ก็จะเริ่มติดไวรัสในเครื่องเสมือน เนื่องจากเครื่องเสมือนได้รับการตั้งค่าให้ดูเหมือนเครื่องจริง ไวรัสจึงเชื่อว่าได้แพร่เชื้อไปยังพีซีจริง ไม่ใช่เครื่องเสมือน ด้วยเหตุนี้ มันจึงเริ่มส่งมอบเพย์โหลดและสร้างความเสียหายให้กับเครื่องเสมือน โชคดีที่ไวรัสไม่สร้างความเสียหายให้กับคอมพิวเตอร์หลัก มีผลกับเครื่องเสมือนเท่านั้น

เมื่อไวรัสถูกเปิดเผย นักวิจัยสามารถเรียนรู้วิธีการทำงาน จากนั้นจึงรีเซ็ตเครื่องเสมือน จากนั้น พวกเขานำสิ่งที่เรียนรู้จากเครื่องเสมือนมาใช้เพื่อสร้างคำจำกัดความของไวรัสเพื่อปกป้องผู้ใช้บนคอมพิวเตอร์จริง ด้วยเหตุนี้เครื่องเสมือนจึงเป็นศัตรูกับนักพัฒนามัลแวร์

ความละเอียดหน้าจอมีบทบาทอย่างไรในเรื่องนี้?

มีข้อบกพร่องเกี่ยวกับวิธีการทดสอบแอปพลิเคชันนี้ เมื่อนักวิจัยมัลแวร์สร้างเครื่องเสมือน พวกเขาไม่สนใจคุณสมบัติพิเศษทั้งหมดเลย สิ่งที่พวกเขาต้องทำในการทดสอบไวรัสก็คือเครื่องเสมือนที่ทำงานเหมือนกับคอมพิวเตอร์ทั่วไป ส่วนอย่างอื่นก็เป็นเพียงทางเลือกเท่านั้น

เป็นผลให้บางครั้งนักวิจัยไม่ได้ติดตั้งซอฟต์แวร์เกสต์ของ VM ซอฟต์แวร์นี้เปิดใช้งานคุณสมบัติเพิ่มเติม เช่น ความละเอียดหน้าจอที่สูงขึ้น ซึ่งผู้วิจัยไม่ต้องการจริงๆ หากผู้ใช้ไม่ได้ใช้ซอฟต์แวร์ไคลเอ็นต์ โดยทั่วไป VM จะล็อกผู้ใช้ให้เป็นหนึ่งในสองความละเอียดต่ำ: 800x600และ1024x768

ความละเอียดทั้งสองนี้มีความสำคัญมากสำหรับนักพัฒนามัลแวร์ คอมพิวเตอร์และแล็ปท็อปสมัยใหม่มักไม่มีหน้าจอที่มีความละเอียดขนาดนั้น ขนาดนั้นล้าสมัยมาก

ความละเอียดของอุปกรณ์ยอดนิยม

มัลแวร์ใช้ข้อมูลนี้เพื่อหลีกเลี่ยง VM อย่างไร

ดังนั้น เมื่อมัลแวร์ปรากฏบนโฮสต์คอมพิวเตอร์และสังเกตว่ามัลแวร์ทำงานด้วยความละเอียด 800×600 หรือ 1024×768 นั่นหมายความว่ามัลแวร์อาจทำงานบนฮาร์ดแวร์ที่ล้าสมัยหรืออาจมีความสามารถสูง .

หากไวรัสทำงานภายใต้สภาวะเหล่านี้ ไวรัสก็จะถูกเปิดเผย ดังนั้นเพื่อปกป้องตัวคุณเอง มัลแวร์จะยุติการทำงานด้วยตัวเองและไม่สร้างความเสียหาย

จากมุมมองของผู้วิจัย โปรแกรมทำงานได้และไม่แพร่เชื้อไปยังพีซี ดังนั้นจึงไม่ใช่ไวรัส จากนั้นพวกเขาอาจทำการสันนิษฐานที่เป็นเท็จเกี่ยวกับโปรแกรม ปล่อยให้มัลแวร์เดินทางต่อไปก่อนที่จะถูกตรวจพบ

ตัวอย่างมัลแวร์ที่ทดสอบความละเอียดในโลกแห่งความเป็นจริง

Trickbot เป็นตัวอย่างที่ดีของกลยุทธ์นี้ เมื่อเร็ว ๆ นี้นักวิจัยสามารถเจาะลึกโค้ด TrickBot และวิเคราะห์วิธีการทำงานได้ ผู้ใช้ Twitter ชื่อ Mak (@maciekkotowicz) พบโค้ดใน TrickBot ที่สแกนความละเอียด 800×600 หรือ 1024×768

โค้ดใน TrickBot จะสแกนที่ความละเอียด 800×600 หรือ 1024×768

ในโค้ดนี้ ไวรัสจะนำค่า X และ Y ของความละเอียดของคอมพิวเตอร์มารวมกันเพื่อดูผลลัพธ์ หากผลลัพธ์เป็น 800×600 หรือ 1024×768 โค้ดจะส่งกลับ 0 ซึ่งบ่งชี้ว่ามัลแวร์ทำงานในเครื่องเสมือน

เมื่อมัลแวร์รู้ว่ามันอยู่ในเครื่องเสมือน มันจะทำลายตัวเองเพื่อหลีกเลี่ยงการตรวจจับ เป็นผลให้ใครก็ตามที่ตรวจหาไวรัสในเครื่องเสมือนจะถือว่าปลอดภัย

กลยุทธ์นี้มีความหมายต่อคุณอย่างไร?

แน่นอนว่าหมายความว่าหากคุณใช้ความละเอียด 1024x768 หรือ 800x600 คุณจะได้รับการปกป้องจากมัลแวร์บางประเภท ทันทีที่พวกเขาไปถึงระบบ พวกเขาจะบันทึกความละเอียดและการทำลายตัวเองของคุณก่อนที่จะสร้างความเสียหายใดๆ อย่างไรก็ตาม เพื่อรับการป้องกันนี้ คุณจะต้องใช้คอมพิวเตอร์ที่มีความละเอียดน้อยมาก!

ด้วยเหตุนี้ วิธีที่ดีที่สุดในการต่อสู้กับมัลแวร์ประเภทใหม่นี้คือการอัปเดตซอฟต์แวร์ป้องกันไวรัสของคุณตอนนี้เคล็ดลับการต่อต้าน VM นี้เป็นความรู้สาธารณะ ดังนั้นจึงไม่น่าเป็นไปได้อย่างยิ่งที่บริษัทรักษาความปลอดภัยระดับไฮเอนด์จะถูกหลอกอีกครั้ง

อย่างไรก็ตาม นี่เป็นสิ่งสำคัญอย่างยิ่งที่ต้องจำไว้ หากคุณมักจะตรวจสอบไฟล์ในเครื่องเสมือนของคุณเอง หากเครื่องเสมือนของคุณทำงานที่ 800×600 หรือ 1024×768 อาจคุ้มค่าที่จะตั้งค่าให้เป็นความละเอียดทั่วไปมากกว่า หากคุณไม่ดำเนินการดังกล่าว จะไม่สามารถแน่ใจได้ว่าไฟล์ที่คุณกำลังตรวจสอบมีการติดตั้งข้อควรระวังเกี่ยวกับ anti-VM หรือไม่