Cách malware lợi dụng độ phân giải màn hình để tránh bị phát hiện

Trong nhiều năm qua, những kẻ phát triển phần mềm độc hại và các chuyên gia an ninh mạng đã có những cuộc đối đầu căng thẳng. Gần đây, cộng đồng phát triển phần mềm độc hại đã triển khai một chiến lược mới nhằm tránh việc bị phát hiện: Kiểm tra độ phân giải màn hình.

Hãy cùng khám phá tại sao độ phân giải màn hình lại quan trọng với phần mềm độc hại và ý nghĩa của điều này đối với bạn.

Tại sao phần mềm độc hại lại quan tâm đến độ phân giải màn hình?

Để tìm hiểu lý do tại sao phần mềm độc hại lại quan tâm đến độ phân giải màn hình, hãy xem xét một trong những kẻ thù “không đội trời chung” với malware: Máy ảo.

Máy ảo là một công cụ hữu ích cho các nhà nghiên cứu virus. Chúng hoạt động như một máy tính bên trong một máy tính khác, vì vậy bạn có thể sử dụng một hệ điều hành khác mà không cần PC mới.

Ví dụ, nếu bạn có máy tính Windows 10 nhưng lại muốn sử dụng Linux, bạn có thể thiết lập một máy ảo bên trong Windows 10 để chạy Linux. Nó sẽ hoạt động giống như một máy tính Linux nhưng chạy trong một cửa sổ trên Windows 10.

Các máy ảo rất hữu ích cho những nhà nghiên cứu virus, vì chúng hoạt động như một cái bẫy ruồi kỹ thuật số. Nếu một nhà nghiên cứu tin rằng một chương trình hoặc file chứa virus, họ có thể kiểm tra bằng cách chạy nó trong một máy ảo.

Nếu file chứa virus, nó sẽ bắt đầu lây nhiễm vào máy ảo. Do một máy ảo được thiết lập giống như máy thật, nên virus tin rằng nó đã lây nhiễm vào PC thực sự chứ không phải máy ảo. Như vậy, nó bắt đầu phân phối payload của mình và gây thiệt hại cho máy ảo. May mắn thay, không có bất kỳ thiệt hại nào virus có thể thực hiện trên máy tính chính. Nó chỉ ảnh hưởng đến máy ảo mà thôi.

Một khi virus lộ diện, các nhà nghiên cứu có thể tìm hiểu cách thức hoạt động của nó, sau đó thiết lập lại máy ảo. Tiếp theo, họ lấy những gì học được từ máy ảo và sử dụng chúng để tạo ra các định nghĩa về virus nhằm bảo vệ người dùng trên máy tính thật. Bởi vì điều này, các máy ảo là kẻ thù đối với những kẻ phát triển phần mềm độc hại.

Độ phân giải màn hình có vai trò gì trong việc này?

Có một lỗ hổng với phương pháp thử nghiệm ứng dụng này. Khi các nhà nghiên cứu phần mềm độc hại tạo ra một máy ảo, họ không thực sự quan tâm đến tất cả các tính năng bổ sung. Tất cả những gì họ cần để kiểm tra virus là một máy ảo hoạt động như một máy tính bình thường, mọi thứ khác chỉ là tùy chọn.

Do đó, đôi khi các nhà nghiên cứu không cài đặt phần mềm khách của VM. Phần mềm này kích hoạt các tính năng bổ sung như độ phân giải màn hình cao hơn, mà nhà nghiên cứu không thực sự cần. Nếu người dùng không sử dụng phần mềm khách, VM thường khóa người dùng vào một trong hai độ phân giải thấp: 800x6001024x768.

Hai độ phân giải này rất quan trọng đối với một kẻ phát triển phần mềm độc hại. Máy tính và laptop hiện đại không thường đi kèm với màn hình ở độ phân giải đó. Kích thước đó rất lỗi thời.

Những độ phân giải thiết bị phổ biến
Những độ phân giải thiết bị phổ biến

Phần mềm độc hại sử dụng dữ liệu này để tránh VM như thế nào?

Như vậy, khi phần mềm độc hại xuất hiện trên máy tính chủ và chú ý thấy rằng nó chạy trên độ phân giải 800×600 hoặc 1024×768, thì nghĩa là malware có thể đang chạy trên phần cứng rất lỗi thời hoặc có khả năng bị theo dõi trong một máy ảo.

Nếu virus hoạt động trong điều kiện này, nó sẽ bị lộ. Như vậy, để bảo vệ mình, phần mềm độc hại sẽ tự chấm dứt và không gây thiệt hại.

Từ quan điểm của nhà nghiên cứu, chương trình đã chạy và không lây nhiễm gì vào PC, vì vậy nó không phải virus. Sau đó, họ có thể đưa ra nhận định sai về chương trình, cho phép phần mềm độc hại đi xa hơn trước khi bị phát hiện.

Ví dụ về việc malware kiểm tra độ phân giải trong thế giới thực

Trickbot là một ví dụ tuyệt vời về chiến thuật này trong thực tế. Các nhà nghiên cứu đã tìm cách đột nhập vào một dòng code TrickBot gần đây và phân tích cách thức hoạt động của nó. Một người dùng Twitter có tên Mak (@maciekkotowicz) đã tìm thấy một đoạn code trong TrickBot quét độ phân giải 800×600 hoặc 1024×768.

Code trong TrickBot quét độ phân giải 800×600 hoặc 1024×768
Code trong TrickBot quét độ phân giải 800×600 hoặc 1024×768

Trong đoạn code này, virus lấy các giá trị X và Y của độ phân giải trên máy tính, sau đó kết hợp chúng để xem kết quả. Nếu kết quả bằng 800×600 hoặc 1024×768, code sẽ trả về số 0. Điều này cho biết phần mềm độc hại chạy trong máy ảo.

Khi phần mềm độc hại biết nó đang trong một máy ảo, nó sẽ tự hủy để tránh bị phát hiện. Kết quả là, bất cứ ai kiểm tra virus trong máy ảo sẽ coi đó là an toàn.

Chiến thuật này có ý nghĩa gì với bạn?

Tất nhiên, điều này có nghĩa là nếu bạn sử dụng độ phân giải 1024x768 hoặc 800x600, bạn sẽ được bảo vệ khỏi một số loại phần mềm độc hại. Ngay khi đến hệ thống, chúng sẽ lưu ý độ phân giải của bạn và tự hủy trước khi gây ra bất kỳ thiệt hại nào. Tuy nhiên, để có được sự bảo vệ này, bạn sẽ phải sử dụng một máy tính có độ phân giải rất nhỏ!

Như vậy, cách tốt nhất để chống lại loại phần mềm độc hại mới này là cập nhật phần mềm diệt virus. Giờ đây, thủ thuật chống VM này là kiến ​​thức công khai, vì vậy rất khó có khả năng các công ty bảo mật cao cấp sẽ bị lừa lần nữa.

Tuy nhiên, điều này đặc biệt cần lưu ý, nếu bạn có xu hướng kiểm tra các file trong những máy ảo của riêng mình. Nếu máy ảo của bạn đang chạy ở 800×600 hoặc 1024×768, thì việc cài đặt nó thành độ phân giải phổ biến hơn sẽ có giá trị. Nếu bạn không làm như vậy, không thể chắc chắn liệu file mà bạn đang kiểm tra có cài đặt biện pháp phòng ngừa chống VM này không.

Chủ Nhật, 09/08/2020 08:15
51 👨 1.748
0 Bình luận
Sắp xếp theo
    ❖ Diệt Virus - Spyware