دانشنامه جدید Evasion نشان می دهد که چگونه بدافزارها ماشینهای مجازی را شناسایی می کنند

دانشنامه جدید Evasion نشان می دهد که چگونه بدافزارها ماشینهای مجازی را شناسایی می کنند

دانشنامه جدیدی به نام Evasion به وجود آمده است که مطالبی در مورد راه های مختلفی که یک بدافزار به کار میگیرد تا متوجه شود که آیا در یک محیط مجازی اجرا می شود یا خیر، ارائه می دهد.

برای جلوگیری از شناسایی و تجزیه و تحلیل توسط محققان امنیتی، بدافزارها ممکن است بررسی کنند که آیا در حال اجرا در یک محیط مجازی مانند VirtualBox و VMWare هستند یا خیر.

اگر این بررسی ها حاکی از اجرای آنها در یک ماشین مجازی باشد، بدافزار به سادگی اجرا نمی شود و در برخی موارد برای جلوگیری از تجزیه و تحلیل خود را پاک می کند.

دانشنامه بدافزار Evasion

این دانشنامه توسط Check Point Research ایجاد شده است، دانشنامه Evasion به دسته بندی های مختلفی تقسیم می شود و اطلاعاتی در مورد راه هایی که یک بدافزار استفاده می کند تا متوجه شود که آیا در حال اجرا در یک ماشین مجازی می باشد، ارایه می دهد.

در حالی که به اشتراک گذاری این اطلاعات ممکن است به نویسندگان بدافزار امکان یادگیری برخی تکنیک های جدید را بدهد، Check Point احساس می کند که ارزش جامعه امنیت اطلاعات از این مزایا برای توسعه دهندگان بدافزار بیشتر است.

بخش های فعلی با تکنیک های ذکر شده در دانشنامه عبارتند از:


Filesystem

Registry

Generic OS queries

Global OS objects

UI artifacts

OS features

Processes

Network

CPU

Hardware

Firmware tables

Hooks

macOS​​​​​​​

در داخل هر بخش قسمت هایی از کد وجود دارد که نشان می دهد بدافزار چگونه متوجه می شود که آیا در یک محیط مجازی اجرا شده است یا خیر و اقدامات پیشنهادی برای مقابله با این مواقع در آن مشخص شده است.

به عنوان مثال، بخش فرآیندها نشان می دهد که چگونه بدافزار برخی فرآیندهای مشخص را بررسی می کند که توسط ماشین مجازی استفاده می شود، بخش Firmware Tables توضیح می دهد که چگونه بدافزار به دنبال رشته های مشخصی در BIOS می باشد، و بخش Generic OS queries، نام های کاربری که بدافزار چک می کند را مشخص کرده است.

 

 

منبع: BleepingComputer.com