Come il malware utilizza la risoluzione dello schermo per evitare il rilevamento

il malware-screen risoluzione

Nel corso degli anni, gli sviluppatori di malware e gli esperti di sicurezza informatica sono stati in guerra cercando di incontrarsi. Di recente, la comunità di sviluppatori di malware ha implementato una nuova strategia per evitare il rilevamento: il controllo della risoluzione dello schermo.

Scopriamo perché la risoluzione dello schermo è importante per il malware e cosa significa per te.

Perché il malware si preoccupa della risoluzione dello schermo

Per scoprire perché il malware si preoccupa della risoluzione dello schermo, dobbiamo dare un'occhiata a uno dei suoi peggiori nemici; la macchina virtuale .

Le macchine virtuali sono uno strumento utile per i ricercatori di virus. Funzionano come un "computer all'interno di un computer", quindi puoi utilizzare un altro sistema operativo senza bisogno di un nuovo PC.

Ad esempio, se si dispone di un computer Windows 10 ma si desidera utilizzare Linux, è possibile configurare una macchina virtuale all'interno di Windows 10 per eseguire Linux. Funzionerà proprio come una macchina Linux ma funziona in una finestra in Windows 10.

Le macchine virtuali sono molto utili per i ricercatori di virus, in quanto fungono da trappola per venere digitale. Se un ricercatore ritiene che un programma o un file contenga un virus, può testarlo eseguendolo all'interno di una macchina virtuale.

Se il file contiene un virus, inizierà a infettare la macchina virtuale. Poiché una macchina virtuale è configurata come una vera, il virus crede che stia infettando un PC reale e non virtuale. Come tale, inizia a consegnare il suo payload e fare danni alla macchina virtuale. Fortunatamente, nessuno dei danni che un virus "porta" al computer principale; interessa solo quello virtuale.

Una volta che il virus ha distribuito il gioco, il ricercatore può studiare come funziona, quindi ripristinare la macchina virtuale. Quindi prendono ciò che hanno imparato dalla macchina virtuale e lo usano per creare definizioni di virus per proteggere i computer reali delle persone.

Per questo motivo, le macchine virtuali sono la rovina degli sviluppatori di malware. Se qualcuno sospetta che un programma porti malware, può avviarlo in una macchina virtuale e cancellarlo se è male.

Da dove viene la risoluzione dello schermo?

C'è un difetto con questo metodo di test delle app. Quando un ricercatore di malware crea una macchina virtuale, non è realmente interessato a tutte le funzionalità aggiuntive. Tutto ciò di cui hanno bisogno per verificare la presenza di virus è una macchina virtuale che si comporta come un normale computer, tutto il resto è facoltativo.

Di conseguenza, i ricercatori a volte non installano il software guest della VM. Questo software abilita funzionalità aggiuntive come risoluzioni dello schermo più elevate, di cui il ricercatore non ha davvero bisogno. Se l'utente non utilizza il software guest, la VM in genere blocca l'utente in una delle due risoluzioni basse: 800 × 600 e 1024 × 768.

Queste due risoluzioni sono importanti per uno sviluppatore di malware. I computer moderni e i laptop in genere non sono dotati di schermi con quella risoluzione; è molto obsoleto.

Il grafico di Statcounter mostra la popolarità della risoluzione

In effetti, puoi vedere quanto è obsoleto su Statcounter , che raccoglie informazioni sulle risoluzioni più utilizzate. Al momento della stesura di questo documento, le risoluzioni tendono ad essere maggiori o minori rispetto agli esempi di VM di cui sopra.

Su un lato dello spettro, hai la risoluzione standard 1366 × 768 per laptop e 1920 × 1080 per monitor per PC. Dall'altro lato, troverai in uso minuscoli schermi 360 × 640: quelli sono smartphone.

800 × 600 e 1024 × 768 non compaiono affatto. Il contrario di quest'ultimo, 768 × 1024, esiste; questa è una risoluzione per iPad. Tuttavia, anche questo occupa solo il 2,6 percento, il che significa che il 97,4 percento dei dispositivi utilizza risoluzioni diverse.

In che modo il malware utilizza questi dati per evitare le macchine virtuali

Pertanto, quando il malware arriva su un computer host e nota che è in esecuzione su 800 × 600 o 1024 × 768, è su hardware molto obsoleto o, più probabilmente, viene guardato all'interno di una macchina virtuale.

Se il virus opera in questa condizione, regalerà il gioco proprio sotto gli occhi di un ricercatore di virus. Pertanto, al fine di proteggere i suoi segreti, il malware si auto-termina e non danneggia.

Dal punto di vista del ricercatore, il programma ha funzionato e non ha infettato il PC, quindi deve essere benigno. Potrebbero quindi assegnare un rapporto falso negativo al programma, consentendo al malware di spostarsi ulteriormente prima che venga finalmente rilevato.

Esempi di malware per il controllo della risoluzione nel mondo reale

Trickbot è un eccellente esempio di questa tattica in natura. I ricercatori sono riusciti a entrare in una recente tensione del codice di TrickBot e hanno analizzato come funziona. Un utente Twitter noto come Mak (@maciekkotowicz) ha trovato una porzione di codice all'interno di TrickBot che esegue la scansione per una risoluzione 800 × 600 o 1024 × 768.

In questo pezzo di codice, il virus prende i valori X e Y della risoluzione del computer, quindi li combina per vedere il risultato. Se il risultato è uguale a 800 × 600 o 1024 × 768, il codice restituisce il numero 0. Ciò indica al malware che è in esecuzione in una VM.

Una volta che il malware sa che si trova all'interno di una macchina virtuale, si autodistrugge per evitare il rilevamento. Di conseguenza, chiunque verifichi la presenza di virus in una macchina virtuale lo considererà erroneamente sicuro.

Cosa significa questa tattica per te

Ovviamente, ciò significa che se hai utilizzato una risoluzione 1024 × 768 o 800 × 600, avrai protezione da alcuni ceppi di malware. Non appena arrivano, noteranno la tua risoluzione e si auto-detoneranno prima di fare danni. Tuttavia, ciò che guadagni in termini di protezione, perderai nella tua sanità mentale usando un computer con una risoluzione così ristretta!

Pertanto, la soluzione migliore per combattere questa nuova varietà di malware è aggiornare il tuo antivirus. Ora che questo trucco anti-VM è di dominio pubblico, è improbabile che le società di sicurezza di fascia alta vengano ingannate di nuovo.

Tuttavia, questo è importante notare se si ha la tendenza a testare i file nelle proprie macchine virtuali. Se la VM è in esecuzione a 800 × 600 o 1024 × 768, vale la pena impostarla su una risoluzione più popolare. In caso contrario, non si può essere certi che il file che si sta testando abbia installato questa precauzione anti-VM.

Rimanere al sicuro da virus furtivi

Con la sicurezza informatica che sta diventando l'enorme industria che è, gli sviluppatori di malware devono adattarsi per rimanere un passo avanti. Nuovi ceppi di malware sfuggiranno all'acquisizione se eseguiti in una macchina virtuale non preparata, quindi se si utilizzano macchine virtuali per il test dei virus, assicurarsi di tenerlo presente.

Il miglior antivirus è il buon senso, quindi perché non imparare i modi semplici per non ottenere mai un virus ?

Leggi l'articolo completo: Come il malware utilizza la risoluzione dello schermo per evitare il rilevamento