دانشنامه جدید Evasion نشان می دهد که چگونه بدافزارها ماشینهای مجازی را شناسایی می کنند
دانشنامه جدیدی به نام Evasion به وجود آمده است که مطالبی در مورد راه های مختلفی که یک بدافزار به کار میگیرد تا متوجه شود که آیا در یک محیط مجازی اجرا می شود یا خیر، ارائه می دهد.
برای جلوگیری از شناسایی و تجزیه و تحلیل توسط محققان امنیتی، بدافزارها ممکن است بررسی کنند که آیا در حال اجرا در یک محیط مجازی مانند VirtualBox و VMWare هستند یا خیر.
اگر این بررسی ها حاکی از اجرای آنها در یک ماشین مجازی باشد، بدافزار به سادگی اجرا نمی شود و در برخی موارد برای جلوگیری از تجزیه و تحلیل خود را پاک می کند.
دانشنامه بدافزار Evasion
این دانشنامه توسط Check Point Research ایجاد شده است، دانشنامه Evasion به دسته بندی های مختلفی تقسیم می شود و اطلاعاتی در مورد راه هایی که یک بدافزار استفاده می کند تا متوجه شود که آیا در حال اجرا در یک ماشین مجازی می باشد، ارایه می دهد.
در حالی که به اشتراک گذاری این اطلاعات ممکن است به نویسندگان بدافزار امکان یادگیری برخی تکنیک های جدید را بدهد، Check Point احساس می کند که ارزش جامعه امنیت اطلاعات از این مزایا برای توسعه دهندگان بدافزار بیشتر است.
بخش های فعلی با تکنیک های ذکر شده در دانشنامه عبارتند از:
Filesystem
Registry
Generic OS queries
Global OS objects
UI artifacts
OS features
Processes
Network
CPU
Hardware
Firmware tables
Hooks
macOS
در داخل هر بخش قسمت هایی از کد وجود دارد که نشان می دهد بدافزار چگونه متوجه می شود که آیا در یک محیط مجازی اجرا شده است یا خیر و اقدامات پیشنهادی برای مقابله با این مواقع در آن مشخص شده است.
به عنوان مثال، بخش فرآیندها نشان می دهد که چگونه بدافزار برخی فرآیندهای مشخص را بررسی می کند که توسط ماشین مجازی استفاده می شود، بخش Firmware Tables توضیح می دهد که چگونه بدافزار به دنبال رشته های مشخصی در BIOS می باشد، و بخش Generic OS queries، نام های کاربری که بدافزار چک می کند را مشخص کرده است.
منبع: BleepingComputer.com
