» »

Pametni virusi v navideznih računalnikih ne tečejo

Pametni virusi v navideznih računalnikih ne tečejo

Slo-Tech - Raziskovalci pri preiskavah zlonamerne programske opreme čedalje pogosteje odkrivajo, da se ta v kontroliranih okoljih (navideznih računalnikih) sploh ne zažene, ker otežuje njeno analizo. Nekaj v ta namen uporabljenih tehnik smo že poznali, nekaj pa je povsem novih.

Eden izmed zlonamernih Wordovih dokumentov (Ursnif), ki vsebuje makro za sprožitev okužbe, preveri štiri dejavnike. Če vsebuje ime datoteke zgolj heksadecimalne znake (0-9, a-f, A-F) pred predpono, makro ne stori nič zlega. Raziskovalci namreč pogosto pred analizo preimenujejo viruse glede na njihovo zgoščeno vrednost SHA256 ali MD5, da imajo točen pregled nad tem, kaj teče. Hkrati makro preveri, koliko procesov z grafičnim vmesnikom teče, in se ne aktivira, če jih ni vsaj 50. Izkazalo se je namreč, da jih ima tipičen računalnik več, medtem ko so navidezni računalniki čisti. Poleg tega makro preveri, ali so na računalniku datoteke, ki so značilne za virtualne računalnike, in preveri IP-naslov, saj pozna naslove glavnih protivirusnih podjetij. Tudi SentinelOne ugotavlja podobne trike. Nekaterih makroji preverijo, ali smo v računalniku že odprli kakšen Wordov dokument, sicer se ne zažene.

To vpliva tudi na priporočene varnostne prakse pri uporabi doma in v podjetjih. Zaganjanje sumljivih datotek v navideznih računalnikih je še vedno zelo priporočljivo, če moramo nujno odpreti kaj čudnega, saj s tem preprečimo morebitno škodo. Ne gre pa iz odsotnosti sumljivega vedenja v navideznem računalniku sklepati, da je priponka resnično varna. Morda se aktivira le na pravem računalniku.

9 komentarjev

filip007 ::

To so se sigurno od VW spomnili.
Palačinka z Ajvarjem in stopljenim sirom v mikrovalovki.

japol ::

Lepa, ni kaj. Pa to da še popravi kodo v explorer.exe, itd. Kako se "zaščititi"?

Oxford ::

Me prav zanima, kako bi se obnesel Sandboxie, ki ga sam uporabljam za 'rizkantne' datoteke? Je tudi ene vrste virtualka.

SeMiNeSanja ::

Tukaj se potem ločuje pleve od semen, ko se gre za sandbox analize datotek.

Kar nekaj časa je že znano, da napredni virusi ugotavljajo ali se jih zaganja v virtualiziranem okolju. Zato nekatere napredne sandbox rešitve uporabljajo tzv. emulirana okolja namesto virtualnih. Poleg tega izvajajo tudi analize izvorne kode, kjer iščejo tudi kodo, katera izvaja takšna testiranja na virtualizacijo.
Emulirana okolja se znajo ustrezno 'zlagati', da bi sprožili škodljivo kodo, saj edino tako lahko ugotovijo, kaj dejansko želi taka koda početi, ko se enkrat aktivira.

Druga lastnost, ki jo ima sodobna škodljiva koda, pa je 'potuhnjenost' - po štartu se potuhne za določen čas (dan, dva, mesec,...) in se šele potem aktivira.
Napredne sandbox rešitve tudi takšne prijeme odkrijejo in emulirajo, da je ta čas že potekel.

Vsekakor tehnologija počasi sledi tudi tem prijemom. Težava je le ta, da takšne rešitve zaradi cene niso dostopne za domačo rabo....

Jupito ::

Nekateri programi imajo to že dalj časa kot "DRM ukrep" (ne, ne bom povedal, kateri in kako vem). Ponavadi precej primitivno - preverijo hardware, in če najdejo Vmware disk, Virtualbox ???? adapter blabla itd., ne kresnejo.

Začuda v tem primeru ni noben politik ali paracaj tulil, da dajejo ideje grdim grdim zlikovcem.
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

stara mama ::

Eee torej počnem najbolj prav, da delam ravno obratno: e-bančništvo uporabljam znotraj virtualke na linuxu.

Markoff ::

Torej je rešitev, da vsi uporabljamo virtualke, pa se nikoli več noben "pameten" virus ne bo v njej zagnal?

/me chuckles...
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

SeMiNeSanja ::

Markoff je izjavil:

Torej je rešitev, da vsi uporabljamo virtualke, pa se nikoli več noben "pameten" virus ne bo v njej zagnal?

/me chuckles...

Mislim, da bi barabe zelo hitro izpilile metode zaznavanja, če se gre za neko uporabniško virtualko ali za nek sandbox sistem.

Netrunner ::

stara mama je izjavil:

Eee torej počnem najbolj prav, da delam ravno obratno: e-bančništvo uporabljam znotraj virtualke na linuxu.


Jaz isto. pa certifikate imam tudi nameščene v virtualki, tako da ob menjavi PCja se ne rabim ubadat še s tem.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

LG-jevi monitorji ugasnejo varnostni sistem UAC v Windows

Oddelek: Novice / Varnost
219906 (6596) Mr.B
»

Navidezni računalnik

Oddelek: Programska oprema
112580 (2100) Beezgetz
»

Odstranjevanje trdovratne hibridne zalege [Napredno]

Oddelek: Informacijska varnost
312742 (1908) fiction
»

Ne igrajte se s particijami!

Oddelek: Operacijski sistemi
282576 (1748) drejc
»

V čem je fora opcije "združljivost" v XP-jih?

Oddelek: Pomoč in nasveti
432261 (1660) DMouse

Več podobnih tem