악성코드가 감지를 피하기 위해 화면 해상도를 활용하는 방법

수년 동안 맬웨어 개발자와 사이버 보안 전문가는 긴장된 대결을 벌였습니다. 최근 맬웨어 개발 커뮤니티에서는 탐지를 피하기 위해 화면 해상도를 확인하는 새로운 전략을 구현했습니다.

화면 해상도가 맬웨어 에 중요한 이유 와 이것이 사용자에게 어떤 의미인지 살펴보겠습니다 .

악성코드가 화면 해상도에 관심을 두는 이유는 무엇입니까?

맬웨어가 화면 해상도에 관심을 갖는 이유를 이해하려면 맬웨어의 적 중 하나인 가상 머신을 고려해 보십시오 .

가상 머신은 바이러스 연구자들에게 유용한 도구입니다. 마치 한 컴퓨터가 다른 컴퓨터 안에 있는 것처럼 작동하므로 새 PC가 없어도 다른 운영 체제를 사용할 수 있습니다.

예를 들어 Windows 10 컴퓨터가 있지만 Linux를 사용하려는 경우 Windows 10 내에 가상 머신을 설정하여 Linux를 실행할 수 있습니다. Linux 컴퓨터처럼 작동하지만 Windows 10의 창에서 실행됩니다.

• Windows에서 Linux 소프트웨어를 실행하는 데 도움이 되는 7가지 방법

가상 머신은 디지털 파리덫처럼 작동하기 때문에 바이러스 연구자들에게 매우 유용합니다. 연구자는 프로그램이나 파일에 바이러스가 포함되어 있다고 생각하는 경우 이를 가상 머신에서 실행하여 테스트할 수 있습니다.

파일에 바이러스가 포함되어 있으면 가상 머신이 감염되기 시작합니다. 가상 머신은 실제 머신처럼 보이도록 설정되어 있기 때문에 바이러스는 가상 머신이 아닌 실제 PC를 감염시켰다고 믿습니다. 따라서 페이로드를 전달하기 시작하고 가상 머신에 손상을 입힙니다. 다행히 바이러스가 메인 컴퓨터에 끼칠 수 있는 피해는 없습니다. 가상 머신에만 영향을 미칩니다.

바이러스가 노출되면 연구원은 바이러스의 작동 방식을 학습한 다음 가상 머신을 재설정할 수 있습니다. 다음으로 그들은 가상 머신에서 배운 내용을 바탕으로 실제 컴퓨터의 사용자를 보호하기 위한 바이러스 정의를 만드는 데 사용했습니다. 이 때문에 가상 머신은 맬웨어 개발자에게 적대적입니다.

여기서 화면 해상도는 어떤 역할을 합니까?

이 애플리케이션 테스트 방법에는 결함이 있습니다. 맬웨어 연구자는 가상 머신을 생성할 때 모든 추가 기능에 전혀 관심을 두지 않습니다. 바이러스를 테스트하는 데 필요한 것은 일반 컴퓨터처럼 작동하는 가상 머신뿐이며, 그 밖의 모든 것은 선택 사항일 뿐입니다.

결과적으로 연구자들은 VM의 게스트 소프트웨어를 설치하지 않는 경우가 있습니다. 이 소프트웨어는 연구원이 실제로 필요하지 않은 더 높은 화면 해상도와 같은 추가 기능을 활성화했습니다. 사용자가 클라이언트 소프트웨어를 사용하지 않는 경우 VM은 일반적으로 사용자를 두 가지 낮은 해상도( 800x600 및 1024x768) 중 하나로 고정합니다.

이 두 가지 해결 방법은 맬웨어 개발자에게 매우 중요합니다. 최신 컴퓨터와 노트북에는 해당 해상도의 화면이 제공되지 않는 경우가 많습니다. 그 크기는 매우 구식입니다.

인기 있는 장치 해상도

악성코드는 VM을 피하기 위해 이 데이터를 어떻게 사용합니까?

따라서 맬웨어가 호스트 컴퓨터에 나타나고 800×600 또는 1024×768의 해상도에서 실행되는 것으로 확인되면 맬웨어가 매우 오래되었거나 잠재적으로 가능한 하드웨어에서 실행되고 있음을 의미합니다. .

바이러스가 이러한 조건에서 작동하면 노출됩니다. 따라서 자신을 보호하기 위해 맬웨어는 자체적으로 종료되며 피해를 입히지 않습니다.

연구원의 입장에서는 프로그램이 실행되었으며 PC를 감염시키지 않았으므로 바이러스는 아닙니다. 그런 다음 프로그램에 대해 잘못된 가정을 하여 악성 코드가 탐지되기 전에 더 멀리 이동할 수 있습니다.

악성 코드 테스트 실제 해결 사례

Trickbot은 이러한 전술이 실제로 실행되는 좋은 예입니다. 연구원들은 최근 TrickBot 코드 라인을 분석하여 그것이 어떻게 작동하는지 분석했습니다. Mak(@maciekkotowicz)라는 트위터 사용자가 TrickBot에서 800×600 또는 1024×768 해상도를 스캔하는 코드를 발견했습니다.

TrickBot의 코드는 800×600 또는 1024×768 해상도로 스캔됩니다.

이 코드에서 바이러스는 컴퓨터 해상도의 X 및 Y 값을 가져온 다음 이를 결합하여 결과를 확인합니다. 결과가 800×600 또는 1024×768이면 코드는 0을 반환합니다. 이는 가상 머신에서 악성 코드가 실행되고 있음을 나타냅니다.

악성코드는 자신이 가상 머신에 있다는 사실을 알게 되면 탐지를 피하기 위해 스스로 파괴됩니다. 결과적으로 가상 머신에서 바이러스를 검사하는 사람은 누구나 가상 머신이 안전하다고 생각할 것입니다.

이 전략은 당신에게 무엇을 의미합니까?

물론 이는 1024x768 또는 800x600 해상도를 사용하면 일부 유형의 맬웨어로부터 보호된다는 의미입니다. 그들은 시스템에 도달하자마자 귀하의 해결 방법을 기록하고 피해를 입히기 전에 자폭합니다. 그러나 이러한 보호를 받으려면 해상도가 매우 낮은 컴퓨터를 사용해야 합니다!

따라서 이 새로운 유형의 맬웨어를 퇴치하는 가장 좋은 방법은 바이러스 백신 소프트웨어를 업데이트하는 것입니다 . 이제 이 안티 VM 트릭은 대중에게 알려졌기 때문에 고급 보안 회사가 다시 속을 가능성은 거의 없습니다.

그러나 자신의 가상 머신에서 파일을 확인하는 경향이 있는 경우 이는 특히 염두에 두는 것이 중요합니다. 가상 머신이 800×600 또는 1024×768에서 실행 중인 경우 더 일반적인 해상도로 설정하는 것이 좋습니다. 그렇게 하지 않으면 검사 중인 파일에 VM 방지 예방 조치가 설치되어 있는지 확인할 수 없습니다.