Кардеры включают обнаружение виртуальных машин в свои трояны, черви и другие вредоносные программы, чтобы помешать поставщикам антивирусов и вирусным исследователям, согласно заметке, опубликованной на этой неделе Центром интернет-шторма института SANS.
Исследователи часто используют виртуальные машины для обнаружения хакерских действий.
«Виртуальные машины - программное обеспечение, которое имитирует аппаратное обеспечение компьютера - полезны для тестирования на вирусы», - пояснил Роджер Томпсон, технический директор Exploit Prevention Labs. «Вы можете запустить вирус, чтобы увидеть, что он делает, а затем удалить его, когда закончите», - сказал он TechNewsWorld.
Все большее число хакеров создают код, который может определять, когда их вирус запускается на виртуальной машине. «Это не слишком новый поворот, но я наблюдаю рост за последние шесть недель», - добавил Томпсон.
«Хакеры знают, что нет реальной причины, по которой средний пользователь компьютера будет использовать виртуальную машину, поскольку они примерно на треть медленнее», - пояснил он.
Недавно Томпсон попытался загрузить фильм с подозрительного веб-сайта, и его обнаружение руткитов не указывало на наличие проблемы на виртуальной машине; однако, когда он попытался загрузить фильм на настоящий компьютер, он сказал, что «они загорелись, как римские свечи».
Некоторые вредоносные программы будут искать определенные области памяти виртуальных машин, проверять наличие хорошо известных драйверов устройств VMware или искать популярные отладчики в списке имен открытых окон, сообщил TechNewsWorld Хосе Назарио, инженер по программному обеспечению и безопасности компании Arbor Networks. «Если какое-либо из этих условий выполняется, вредоносное ПО будет считать, что за ним слишком внимательно наблюдают, и прекратит работу», - сказал он.
Он отметил, что иногда авторы вредоносных программ включают эксплойты, которые пытаются атаковать компьютер исследователя через хорошо известную дыру и либо приводят к сбою приложения и пытаются испортить работу исследователя, либо выполняют другие команды.
В других случаях вредоносная программа изменяет курс и выполняет новые инструкции вместо своих обычных инструкций.
«Последнее, возможно, наиболее опасно для аналитика вредоносных программ, поскольку они могут предположить, что видели все, что может сделать вредоносная программа, и закрыть свой отчет», - добавил Назарио.
«Одним из преимуществ защиты от вредоносных программ является то, что зачастую очень легко обнаружить методы, которые используют создатели вредоносных программ, чтобы определить, выполняется ли их код на виртуальной машине», - сказал Гюнтер Оллманн, директор X-Force в ISS.
Следовательно, исследователи изучают вредоносное ПО с помощью механизма управления поведением для дальнейшего выявления и защиты от вредоносного кода, добавил он.
Например, исполняемое вложение электронной почты или загрузка файла может попытаться установить себя и, как часть этого процесса установки, определить, находится ли оно в виртуальной среде. Если да, то его можно определить как вероятное вредоносное ПО.
«Достаточно легко настроить виртуальную среду, чтобы она не казалась виртуальной. В худшем случае можно использовать простые методы создания образа диска, которые теперь ничем не уступают запуску виртуальной среды», - сказал Назарио.
«Это запутает вредоносное ПО, которое ищет известные сигнатуры VMware или названия популярных аналитических инструментов. Часто он не думает, что за ним следят, поэтому будет вести себя нормально», - добавил Назарио.
Есть и другие контрмеры, но они являются коммерческой тайной. «В сообществе аналитиков вредоносных программ многие из этих советов и приемов тщательно охраняются, чтобы быть на шаг впереди авторов вредоносных программ», - отметил он.
Исследователи часто используют виртуальные машины для обнаружения хакерских действий.
«Виртуальные машины - программное обеспечение, которое имитирует аппаратное обеспечение компьютера - полезны для тестирования на вирусы», - пояснил Роджер Томпсон, технический директор Exploit Prevention Labs. «Вы можете запустить вирус, чтобы увидеть, что он делает, а затем удалить его, когда закончите», - сказал он TechNewsWorld.
Все большее число хакеров создают код, который может определять, когда их вирус запускается на виртуальной машине. «Это не слишком новый поворот, но я наблюдаю рост за последние шесть недель», - добавил Томпсон.
«Хакеры знают, что нет реальной причины, по которой средний пользователь компьютера будет использовать виртуальную машину, поскольку они примерно на треть медленнее», - пояснил он.
Недавно Томпсон попытался загрузить фильм с подозрительного веб-сайта, и его обнаружение руткитов не указывало на наличие проблемы на виртуальной машине; однако, когда он попытался загрузить фильм на настоящий компьютер, он сказал, что «они загорелись, как римские свечи».
Противодействие слежке и шпионское ремесло
Эта тенденция обязательно сохранится, поскольку хакеры склонны применять проверенные стратегии. В ответ поставщики антивирусных программ и исследователи активизировали свою деятельность по слежке за хакерами.Некоторые вредоносные программы будут искать определенные области памяти виртуальных машин, проверять наличие хорошо известных драйверов устройств VMware или искать популярные отладчики в списке имен открытых окон, сообщил TechNewsWorld Хосе Назарио, инженер по программному обеспечению и безопасности компании Arbor Networks. «Если какое-либо из этих условий выполняется, вредоносное ПО будет считать, что за ним слишком внимательно наблюдают, и прекратит работу», - сказал он.
Он отметил, что иногда авторы вредоносных программ включают эксплойты, которые пытаются атаковать компьютер исследователя через хорошо известную дыру и либо приводят к сбою приложения и пытаются испортить работу исследователя, либо выполняют другие команды.
В других случаях вредоносная программа изменяет курс и выполняет новые инструкции вместо своих обычных инструкций.
«Последнее, возможно, наиболее опасно для аналитика вредоносных программ, поскольку они могут предположить, что видели все, что может сделать вредоносная программа, и закрыть свой отчет», - добавил Назарио.
Легко обнаружить
Хорошая новость в том, что сообщество AV не выглядит чрезмерно встревоженным.«Одним из преимуществ защиты от вредоносных программ является то, что зачастую очень легко обнаружить методы, которые используют создатели вредоносных программ, чтобы определить, выполняется ли их код на виртуальной машине», - сказал Гюнтер Оллманн, директор X-Force в ISS.
Следовательно, исследователи изучают вредоносное ПО с помощью механизма управления поведением для дальнейшего выявления и защиты от вредоносного кода, добавил он.
Например, исполняемое вложение электронной почты или загрузка файла может попытаться установить себя и, как часть этого процесса установки, определить, находится ли оно в виртуальной среде. Если да, то его можно определить как вероятное вредоносное ПО.
«Достаточно легко настроить виртуальную среду, чтобы она не казалась виртуальной. В худшем случае можно использовать простые методы создания образа диска, которые теперь ничем не уступают запуску виртуальной среды», - сказал Назарио.
Торговые секреты
Исследователи вирусов разработали методы и инструменты, позволяющие обойти контроль хакеров путем изменения среды тестирования вредоносных программ с использованием уникальных и настраиваемых сигнатур.«Это запутает вредоносное ПО, которое ищет известные сигнатуры VMware или названия популярных аналитических инструментов. Часто он не думает, что за ним следят, поэтому будет вести себя нормально», - добавил Назарио.
Есть и другие контрмеры, но они являются коммерческой тайной. «В сообществе аналитиков вредоносных программ многие из этих советов и приемов тщательно охраняются, чтобы быть на шаг впереди авторов вредоносных программ», - отметил он.
