بدافزارهای جدید قدرت شناسایی ماشین های مجازی را دارند
یکی از راههای مؤثر برای مقابله با بدافزارها استفاده از ماشینهای مجازی مانند Sandbox است؛ چرا که اگر نرمافزاری مخرب باشد، فقط در محدوده ماشین مجازی میتواند عمل کند و به بقیه سیستم سرایت نخواهد کرد. اما تروجانها در حال تکامل هستند و سازندگان آنها نیز در حال پیدا کردن راههایی برای تشخیص و آلوده سازی ماشینهای مجازی هستند.
این موضوع توسط کِیلب فنتون و به وسیله شرکت امنیتی SentinelOne کشف شد. این شکل جدید از بدافزار قادر خواهد بود به ماشینهای مجازی نفوذ کند؛ ظاهرا این کار توسط تجزیه و تحلیل تعدادی از اسناد، مانند فایلهای Word روی ماشین مجازی انجام میشود.
روند کار به این صورت است که بدافزار پس از اینکه متوجه شد در ماشین مجازی قرار دارد، ابتدا نامرئی میشود و بهترین حالت را برای مخفی شدن خودش ایجاد میکند تا از تمام تکنیکهای تشخیصی دور بماند.
محققان امنیتی میتوانند از ماشینهای مجازی برای یادگیری بخشهای مختلف یک بدافزار کمک بگیرند، اما الگوریتم جدید به بدافزارها اجازه خواهد داد تا خود را تکثیر کنند.
در یک نمونه خاص که توسط فنتون کشف شد، بدافزار میتواند یک ماشین مجازی را برای یافتن اسناد مایکروسافت ورد از طریق عملکرد Recent Documents Windows پیدا کند. بدافزار آنتی-سندباکس میتواند آیپی سیستم را تشخیص دهد و از کامپیوترهایی که بدافزار مورد نظر را در سیستم امنیتی خود، در لیست سیاه قرار دادهاند، فرار کند. مجددا، اگر بدافزار تشخیص دهد که به دام افتاده است، عمدا تمامی فعالیتهایش را مخفی میکند تا قابل تشخیص نباشد.
اگر چه این تکنیک نسبتا جدید است و تکامل تروجانها را در جنگ بین ویروسها و آنتیویروسها نشان میدهد، اما گسترش زندگی بدافزارها میتواند روش طولانیتری برای بهبود زیست پذیری آنها باشد، اگرچه در اغلب موارد ساخت بدافزار سختتر از کشتن آن است.
نظرات