악성코드가 감지를 피하기 위해 화면 해상도를 활용하는 방법

악성코드가 감지를 피하기 위해 화면 해상도를 활용하는 방법

수년 동안 맬웨어 개발자와 사이버 보안 전문가는 긴장된 대결을 벌였습니다. 최근 맬웨어 개발 커뮤니티에서는 탐지를 피하기 위해 화면 해상도를 확인하는 새로운 전략을 구현했습니다.

화면 해상도가 맬웨어 에 중요한 이유 와 이것이 사용자에게 어떤 의미인지 살펴보겠습니다 .

악성코드가 화면 해상도에 관심을 두는 이유는 무엇입니까?

맬웨어가 화면 해상도에 관심을 갖는 이유를 이해하려면 맬웨어의 적 중 하나인 가상 머신을 고려해 보십시오 .

가상 머신은 바이러스 연구자들에게 유용한 도구입니다. 마치 한 컴퓨터가 다른 컴퓨터 안에 있는 것처럼 작동하므로 새 PC가 없어도 다른 운영 체제를 사용할 수 있습니다.

예를 들어 Windows 10 컴퓨터가 있지만 Linux를 사용하려는 경우 Windows 10 내에 가상 머신을 설정하여 Linux를 실행할 수 있습니다. Linux 컴퓨터처럼 작동하지만 Windows 10의 창에서 실행됩니다.

가상 머신은 디지털 파리덫처럼 작동하기 때문에 바이러스 연구자들에게 매우 유용합니다. 연구자는 프로그램이나 파일에 바이러스가 포함되어 있다고 생각하는 경우 이를 가상 머신에서 실행하여 테스트할 수 있습니다.

파일에 바이러스가 포함되어 있으면 가상 머신이 감염되기 시작합니다. 가상 머신은 실제 머신처럼 보이도록 설정되어 있기 때문에 바이러스는 가상 머신이 아닌 실제 PC를 감염시켰다고 믿습니다. 따라서 페이로드를 전달하기 시작하고 가상 머신에 손상을 입힙니다. 다행히 바이러스가 메인 컴퓨터에 끼칠 수 있는 피해는 없습니다. 가상 머신에만 영향을 미칩니다.

바이러스가 노출되면 연구원은 바이러스의 작동 방식을 학습한 다음 가상 머신을 재설정할 수 있습니다. 다음으로 그들은 가상 머신에서 배운 내용을 바탕으로 실제 컴퓨터의 사용자를 보호하기 위한 바이러스 정의를 만드는 데 사용했습니다. 이 때문에 가상 머신은 맬웨어 개발자에게 적대적입니다.

여기서 화면 해상도는 어떤 역할을 합니까?

이 애플리케이션 테스트 방법에는 결함이 있습니다. 맬웨어 연구자는 가상 머신을 생성할 때 모든 추가 기능에 전혀 관심을 두지 않습니다. 바이러스를 테스트하는 데 필요한 것은 일반 컴퓨터처럼 작동하는 가상 머신뿐이며, 그 밖의 모든 것은 선택 사항일 뿐입니다.

결과적으로 연구자들은 VM의 게스트 소프트웨어를 설치하지 않는 경우가 있습니다. 이 소프트웨어는 연구원이 실제로 필요하지 않은 더 높은 화면 해상도와 같은 추가 기능을 활성화했습니다. 사용자가 클라이언트 소프트웨어를 사용하지 않는 경우 VM은 일반적으로 사용자를 두 가지 낮은 해상도( 800x6001024x768) 중 하나로 고정합니다.

이 두 가지 해결 방법은 맬웨어 개발자에게 매우 중요합니다. 최신 컴퓨터와 노트북에는 해당 해상도의 화면이 제공되지 않는 경우가 많습니다. 그 크기는 매우 구식입니다.

인기 있는 장치 해상도

악성코드는 VM을 피하기 위해 이 데이터를 어떻게 사용합니까?

따라서 맬웨어가 호스트 컴퓨터에 나타나고 800×600 또는 1024×768의 해상도에서 실행되는 것으로 확인되면 맬웨어가 매우 오래되었거나 잠재적으로 가능한 하드웨어에서 실행되고 있음을 의미합니다. .

바이러스가 이러한 조건에서 작동하면 노출됩니다. 따라서 자신을 보호하기 위해 맬웨어는 자체적으로 종료되며 피해를 입히지 않습니다.

연구원의 입장에서는 프로그램이 실행되었으며 PC를 감염시키지 않았으므로 바이러스는 아닙니다. 그런 다음 프로그램에 대해 잘못된 가정을 하여 악성 코드가 탐지되기 전에 더 멀리 이동할 수 있습니다.

악성 코드 테스트 실제 해결 사례

Trickbot은 이러한 전술이 실제로 실행되는 좋은 예입니다. 연구원들은 최근 TrickBot 코드 라인을 분석하여 그것이 어떻게 작동하는지 분석했습니다. Mak(@maciekkotowicz)라는 트위터 사용자가 TrickBot에서 800×600 또는 1024×768 해상도를 스캔하는 코드를 발견했습니다.

악성코드가 감지를 피하기 위해 화면 해상도를 활용하는 방법

TrickBot의 코드는 800×600 또는 1024×768 해상도로 스캔됩니다.

이 코드에서 바이러스는 컴퓨터 해상도의 X 및 Y 값을 가져온 다음 이를 결합하여 결과를 확인합니다. 결과가 800×600 또는 1024×768이면 코드는 0을 반환합니다. 이는 가상 머신에서 악성 코드가 실행되고 있음을 나타냅니다.

악성코드는 자신이 가상 머신에 있다는 사실을 알게 되면 탐지를 피하기 위해 스스로 파괴됩니다. 결과적으로 가상 머신에서 바이러스를 검사하는 사람은 누구나 가상 머신이 안전하다고 생각할 것입니다.

이 전략은 당신에게 무엇을 의미합니까?

물론 이는 1024x768 또는 800x600 해상도를 사용하면 일부 유형의 맬웨어로부터 보호된다는 의미입니다. 그들은 시스템에 도달하자마자 귀하의 해결 방법을 기록하고 피해를 입히기 전에 자폭합니다. 그러나 이러한 보호를 받으려면 해상도가 매우 낮은 컴퓨터를 사용해야 합니다!

따라서 이 새로운 유형의 맬웨어를 퇴치하는 가장 좋은 방법은 바이러스 백신 소프트웨어를 업데이트하는 것입니다 . 이제 이 안티 VM 트릭은 대중에게 알려졌기 때문에 고급 보안 회사가 다시 속을 가능성은 거의 없습니다.

그러나 자신의 가상 머신에서 파일을 확인하는 경향이 있는 경우 이는 특히 염두에 두는 것이 중요합니다. 가상 머신이 800×600 또는 1024×768에서 실행 중인 경우 더 일반적인 해상도로 설정하는 것이 좋습니다. 그렇게 하지 않으면 검사 중인 파일에 VM 방지 예방 조치가 설치되어 있는지 확인할 수 없습니다.


Chromebook을 별도의 화면이나 TV에 연결하는 방법

Chromebook을 별도의 화면이나 TV에 연결하는 방법

Chrome OS는 사용자가 Chromebook을 별도의 화면이나 TV에 연결할 수 있는 다양한 방법을 지원합니다.

ITop Data Recovery를 사용하여 컴퓨터 데이터를 복원하는 방법

ITop Data Recovery를 사용하여 컴퓨터 데이터를 복원하는 방법

iTop Data Recovery는 Windows 컴퓨터에서 삭제된 데이터를 복구하는 데 도움이 되는 소프트웨어입니다. 이 가이드에서는 iTop Data Recovery 사용 방법에 대해 자세히 설명합니다.

Cleaner One Pro로 Mac, Windows PC 속도를 높이는 방법

Cleaner One Pro로 Mac, Windows PC 속도를 높이는 방법

느린 PC와 Mac의 속도를 높이고 유지 관리하는 방법과 Cleaner One Pro와 같은 유용한 도구를 알아보세요.

MSIX란 무엇인가요? Windows의 새로운 파일 형식에 대해 알아보기

MSIX란 무엇인가요? Windows의 새로운 파일 형식에 대해 알아보기

MSIX는 LOB 애플리케이션부터 Microsoft Store, Store for Business 또는 기타 방법을 통해 배포되는 애플리케이션까지 지원하는 크로스 플랫폼 설치 관리자입니다.

키보드 없이 Windows 컴퓨터 화면에 로그인하는 방법

키보드 없이 Windows 컴퓨터 화면에 로그인하는 방법

컴퓨터 키보드가 작동을 멈춘 경우, 마우스나 터치 스크린을 사용하여 Windows에 로그인하는 방법을 알아보세요.

AMD Ryzen Master로 RAM을 쉽게 오버클럭하는 방법

AMD Ryzen Master로 RAM을 쉽게 오버클럭하는 방법

다행히 AMD Ryzen 프로세서를 실행하는 Windows 컴퓨터 사용자는 Ryzen Master를 사용하여 BIOS를 건드리지 않고도 RAM을 쉽게 오버클럭할 수 있습니다.

MS Edge를 실행하고 명령줄에서 URL을 여는 방법

MS Edge를 실행하고 명령줄에서 URL을 여는 방법

Microsoft Edge 브라우저는 명령 프롬프트와 같은 명령줄 도구에서 열 수 있도록 지원합니다. 명령줄에서 Edge 브라우저를 실행하는 방법과 URL을 여는 명령을 알아보세요.

컴퓨터에서 가상 드라이브를 생성하는 최고의 소프트웨어

컴퓨터에서 가상 드라이브를 생성하는 최고의 소프트웨어

이것은 컴퓨터에 가상 드라이브를 생성하는 많은 소프트웨어 중 5개입니다. 가상 드라이브 생성 소프트웨어를 통해 효율적으로 파일을 관리해 보세요.

이제 Windows Store에서 Surface 노트북 하드웨어 테스트 도구를 사용할 수 있습니다.

이제 Windows Store에서 Surface 노트북 하드웨어 테스트 도구를 사용할 수 있습니다.

Microsoft의 공식 Surface 하드웨어 테스트 도구인 Surface Diagnostic Toolkit을 Windows Store에서 다운로드하여 배터리 문제 해결 등의 필수 정보를 찾으세요.

USB에 숨겨진 파일과 폴더를 표시하는 방법

USB에 숨겨진 파일과 폴더를 표시하는 방법

바이러스가 USB 드라이브를 공격하면 USB 드라이브의 모든 데이터를 "먹거나" 숨길 수 있습니다. USB 드라이브의 숨겨진 파일과 폴더를 표시하는 방법은 LuckyTemplates의 아래 기사를 참조하세요.