-
Хакеры встраивают в злонамеренный код детекторы виртуальных машин
Хакеры включают в свои черви и трояны механизм обнаружения виртуальных машин, тем самым усложняя работу антивирусных лабораторий.
Эта тактика направлена на то, чтобы помешать исследователям, которые используют виртуализационное ПО, особенно выпущенное VMware, для быстрого и безопасного тестирования воздействия злонамеренного кода. Специалисты по безопасности часто запускают злонамеренные приложения в виртуальных машинах, чтобы защитить свою операционную систему от угрозы; виртуализационное ПО также позволяет анализировать злонамеренный код на различных операционных системах на одном компьютере.
«Три из 12 образцов злонамеренного ПО, обнаруженных недавно нашим honeypot отказались запуститься в VMware» сказал Ленни Зельтцер (Lenny Zeltser), аналитик института SANS.
Писатели злонамеренных приложений используют множество различных техник для обнаружения виртуальных машин, включая поиск специфичных для VMware процессов и оборудования. В основном используется код на ассемблере, который ведет себя на виртуальной машине не так как на физическом хосте.
В свою очередь, специалисты по безопасности института SANS Том Листон (Tom Liston) и Эд Скудис (Ed Skoudis) описали технику для борьбы с обнаружением виртуальных машин. Документ можно загрузить тут.
securitylab.ru
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Совершенно верно - именно поэтому мой анализатор вирусов является аппаратным ... причем это появилось не сейчас, а существует уже давно, 2-3 года точно. Мне известно не менее десятка методов детектирования запуска кода на виртуальном ПК
Продолжая идею авторов этой заметки я могу заметить, что примерно в одном образце на 10-20 фиксируется та или иная методика антиэмуляции - для борьбы с Norman Sandbox и аналогами. Простейшая форма защиты - просто таймер, реализующий задержку выполнения вредоносного кода, или некое длительное вычисление/расшифровка, которое невозможно проэмулировать за разумное время или обойти. Другое направление антиэмуляции - взаимодействие с пользователем, например отображение диалогового окна с лицензионным соглашением или чего-то подобного.
-
-
еще встречаются модифицированные навесные защиты, которые пытаются уйти из-под распаковки и запустить код файла.
-
-
Сообщение от
MOCT
еще встречаются модифицированные навесные защиты, которые пытаются уйти из-под распаковки и запустить код файла.
Да, есть такое дело. И еще интересная тенденция - распаковать свой код и внедрить этот кусок кода в другой процесс. В этом случае эмуляция такого кода антивирусом или анализатором становится крайне сложной задачей (заренее ведь неизвестно, в какой процесс будет внедряться код и каким методом).
-