MalWare TrickBot теперь проверяет разрешение экрана, чтобы избежать обнаружения

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 4 Jul 2020.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    388
    Likes Received:
    1,476
    Reputations:
    21
    Печально известный троян TrickBot начал проверять разрешение экрана жертв, чтобы определить, работает ли вредоносное ПО на виртуальной машине.

    Когда исследователи анализируют вредоносные программы, они обычно делают это на виртуальной машине, которая настроена с помощью различных инструментов анализа.

    Из-за этого вредоносные программы обычно используют методы защиты от виртуальных машин, чтобы определить, работает ли вредоносное ПО на виртуальной машине. Если это так, то, скорее всего, его анализирует исследователь или автоматизированная система песочницы.

    Популярные методы защиты от виртуальных машин включают поиск определенных процессов, служб Windows или имен компьютеров и даже проверку MAC-адресов сетевой карты или функций процессора.

    TrickBot использует разрешение экрана в качестве проверки анти-VM

    В новом образце троянца TrickBot, обнаруженном MalwareLab's Maciej Kotowicz, специализирующейся в области кибербезопасности, вредоносная программа теперь проверяет разрешение экрана зараженного компьютера, чтобы определить, запущена ли она в виртуальной машине.

    Созданный как банковский троян, TrickBot со временем эволюционировал для выполнения различных вредоносных действий, в том числе включает в себя распространение по сети через сеть, кражу сохраненных учетных данных в браузерах, кражу баз данных служб Active Directory, кражу файлов cookie и ключей OpenSSH, кражу учетных данных RDP, VNC и PuTTY и многое другое.

    В своем твите Котович заявил, что новый образец TrickBot проверяет, является ли разрешение экрана компьютера 800x600 или 1024x768, и если это так, TrickBot прекратит работу.
    [​IMG]
    TrickBot проверяет эти конкретные разрешения из-за того, как исследователи так обычно настраивают свои виртуальные машины для анализа вредоносных программ.

    При настройке виртуальной машины большинство исследователей не устанавливают гостевое программное обеспечение виртуальной машины, которое обеспечивает лучшее разрешение экрана, лучшее управление мышью, улучшенные сетевые функции и другие функции.

    Однако без гостевого программного обеспечения виртуальная машина, как правило, не допускает никаких разрешений, кроме 800x600 и 1024x768, по сравнению с обычными разрешениями экрана, которые намного выше.

    Например, популярное бесплатное программное обеспечение для виртуальных машин VirtualBox имеет разрешение по умолчанию 1024x768, когда его программное обеспечение для гостевых дополнений не установлено.

    В дополнение Виталий Кремез из Intel также сообщил BleepingComputer, что виртуальные машины, используемые в решениях для автоматического анализа вредоносных программ в «песочнице», также используют это разрешение по умолчанию.

    «Виртуальные машины обычно имеют такое точное разрешение. Другие механизмы песочницы, такие как JoeSandbox и Any App Run, также полагаются на ту же методологию с разрешением виртуальной машины по умолчанию», - сказал Кремес BleepingComputer.

    Зная это, разработчики TrickBot используют эти проверки разрешения экрана как еще одну проверку анти-VM.

    Хорошей новостью является то, что если вы используете эти разрешения, вы в безопасности от TrickBot. Плохая новость в том, что вы используете эти разрешения.

    Источник: https://www.bleepingcomputer.com/ne...w-checks-screen-resolution-to-evade-analysis/
     
    Suicide likes this.
Loading...