악성코드가 감지를 피하기 위해 화면 해상도를 활용하는 방법

악성코드가 감지를 피하기 위해 화면 해상도를 활용하는 방법

수년 동안 맬웨어 개발자와 사이버 보안 전문가는 긴장된 대결을 벌였습니다. 최근 맬웨어 개발 커뮤니티에서는 탐지를 피하기 위해 화면 해상도를 확인하는 새로운 전략을 구현했습니다.

화면 해상도가 맬웨어 에 중요한 이유 와 이것이 사용자에게 어떤 의미인지 살펴보겠습니다 .

악성코드가 화면 해상도에 관심을 두는 이유는 무엇입니까?

맬웨어가 화면 해상도에 관심을 갖는 이유를 이해하려면 맬웨어의 적 중 하나인 가상 머신을 고려해 보십시오 .

가상 머신은 바이러스 연구자들에게 유용한 도구입니다. 마치 한 컴퓨터가 다른 컴퓨터 안에 있는 것처럼 작동하므로 새 PC가 없어도 다른 운영 체제를 사용할 수 있습니다.

예를 들어 Windows 10 컴퓨터가 있지만 Linux를 사용하려는 경우 Windows 10 내에 가상 머신을 설정하여 Linux를 실행할 수 있습니다. Linux 컴퓨터처럼 작동하지만 Windows 10의 창에서 실행됩니다.

가상 머신은 디지털 파리덫처럼 작동하기 때문에 바이러스 연구자들에게 매우 유용합니다. 연구자는 프로그램이나 파일에 바이러스가 포함되어 있다고 생각하는 경우 이를 가상 머신에서 실행하여 테스트할 수 있습니다.

파일에 바이러스가 포함되어 있으면 가상 머신이 감염되기 시작합니다. 가상 머신은 실제 머신처럼 보이도록 설정되어 있기 때문에 바이러스는 가상 머신이 아닌 실제 PC를 감염시켰다고 믿습니다. 따라서 페이로드를 전달하기 시작하고 가상 머신에 손상을 입힙니다. 다행히 바이러스가 메인 컴퓨터에 끼칠 수 있는 피해는 없습니다. 가상 머신에만 영향을 미칩니다.

바이러스가 노출되면 연구원은 바이러스의 작동 방식을 학습한 다음 가상 머신을 재설정할 수 있습니다. 다음으로 그들은 가상 머신에서 배운 내용을 바탕으로 실제 컴퓨터의 사용자를 보호하기 위한 바이러스 정의를 만드는 데 사용했습니다. 이 때문에 가상 머신은 맬웨어 개발자에게 적대적입니다.

여기서 화면 해상도는 어떤 역할을 합니까?

이 애플리케이션 테스트 방법에는 결함이 있습니다. 맬웨어 연구자는 가상 머신을 생성할 때 모든 추가 기능에 전혀 관심을 두지 않습니다. 바이러스를 테스트하는 데 필요한 것은 일반 컴퓨터처럼 작동하는 가상 머신뿐이며, 그 밖의 모든 것은 선택 사항일 뿐입니다.

결과적으로 연구자들은 VM의 게스트 소프트웨어를 설치하지 않는 경우가 있습니다. 이 소프트웨어는 연구원이 실제로 필요하지 않은 더 높은 화면 해상도와 같은 추가 기능을 활성화했습니다. 사용자가 클라이언트 소프트웨어를 사용하지 않는 경우 VM은 일반적으로 사용자를 두 가지 낮은 해상도( 800x6001024x768) 중 하나로 고정합니다.

이 두 가지 해결 방법은 맬웨어 개발자에게 매우 중요합니다. 최신 컴퓨터와 노트북에는 해당 해상도의 화면이 제공되지 않는 경우가 많습니다. 그 크기는 매우 구식입니다.

인기 있는 장치 해상도

악성코드는 VM을 피하기 위해 이 데이터를 어떻게 사용합니까?

따라서 맬웨어가 호스트 컴퓨터에 나타나고 800×600 또는 1024×768의 해상도에서 실행되는 것으로 확인되면 맬웨어가 매우 오래되었거나 잠재적으로 가능한 하드웨어에서 실행되고 있음을 의미합니다. .

바이러스가 이러한 조건에서 작동하면 노출됩니다. 따라서 자신을 보호하기 위해 맬웨어는 자체적으로 종료되며 피해를 입히지 않습니다.

연구원의 입장에서는 프로그램이 실행되었으며 PC를 감염시키지 않았으므로 바이러스는 아닙니다. 그런 다음 프로그램에 대해 잘못된 가정을 하여 악성 코드가 탐지되기 전에 더 멀리 이동할 수 있습니다.

악성 코드 테스트 실제 해결 사례

Trickbot은 이러한 전술이 실제로 실행되는 좋은 예입니다. 연구원들은 최근 TrickBot 코드 라인을 분석하여 그것이 어떻게 작동하는지 분석했습니다. Mak(@maciekkotowicz)라는 트위터 사용자가 TrickBot에서 800×600 또는 1024×768 해상도를 스캔하는 코드를 발견했습니다.

악성코드가 감지를 피하기 위해 화면 해상도를 활용하는 방법

TrickBot의 코드는 800×600 또는 1024×768 해상도로 스캔됩니다.

이 코드에서 바이러스는 컴퓨터 해상도의 X 및 Y 값을 가져온 다음 이를 결합하여 결과를 확인합니다. 결과가 800×600 또는 1024×768이면 코드는 0을 반환합니다. 이는 가상 머신에서 악성 코드가 실행되고 있음을 나타냅니다.

악성코드는 자신이 가상 머신에 있다는 사실을 알게 되면 탐지를 피하기 위해 스스로 파괴됩니다. 결과적으로 가상 머신에서 바이러스를 검사하는 사람은 누구나 가상 머신이 안전하다고 생각할 것입니다.

이 전략은 당신에게 무엇을 의미합니까?

물론 이는 1024x768 또는 800x600 해상도를 사용하면 일부 유형의 맬웨어로부터 보호된다는 의미입니다. 그들은 시스템에 도달하자마자 귀하의 해결 방법을 기록하고 피해를 입히기 전에 자폭합니다. 그러나 이러한 보호를 받으려면 해상도가 매우 낮은 컴퓨터를 사용해야 합니다!

따라서 이 새로운 유형의 맬웨어를 퇴치하는 가장 좋은 방법은 바이러스 백신 소프트웨어를 업데이트하는 것입니다 . 이제 이 안티 VM 트릭은 대중에게 알려졌기 때문에 고급 보안 회사가 다시 속을 가능성은 거의 없습니다.

그러나 자신의 가상 머신에서 파일을 확인하는 경향이 있는 경우 이는 특히 염두에 두는 것이 중요합니다. 가상 머신이 800×600 또는 1024×768에서 실행 중인 경우 더 일반적인 해상도로 설정하는 것이 좋습니다. 그렇게 하지 않으면 검사 중인 파일에 VM 방지 예방 조치가 설치되어 있는지 확인할 수 없습니다.


Windows 10에 macOS Big Sur/iOS 14 위젯을 설치하는 방법

Windows 10에 macOS Big Sur/iOS 14 위젯을 설치하는 방법

macOS Big Sur 버전은 최근 WWDC 컨퍼런스에서 공식적으로 발표되었습니다. 그리고 Rainmeter 도구를 사용하면 macOS Big Sur의 인터페이스를 Windows 10으로 완전히 가져올 수 있습니다.

RDSealer 악성 코드로부터 원격 데스크톱을 보호하는 방법

RDSealer 악성 코드로부터 원격 데스크톱을 보호하는 방법

RDSealer는 RDP 서버를 감염시키고 원격 연결을 모니터링하여 자격 증명과 데이터를 훔치려는 악성 코드입니다.

파일 탐색기를 대체할 최고의 Windows용 파일 관리 소프트웨어 7가지

파일 탐색기를 대체할 최고의 Windows용 파일 관리 소프트웨어 7가지

이제 파일 탐색기에 작별 인사를 하고 타사 파일 관리 소프트웨어를 사용할 때가 되었습니까? 다음은 최고의 Windows 파일 탐색기 대안 7가지입니다.

LoRaWAN은 어떻게 작동하나요? IoT에 왜 중요한가요?

LoRaWAN은 어떻게 작동하나요? IoT에 왜 중요한가요?

LoRaWAN 또는 장거리 무선 영역 네트워크는 장거리 저전력 장치 간의 통신에 유용합니다.

Windows 10에서 고급 시작 옵션을 여는 8가지 방법

Windows 10에서 고급 시작 옵션을 여는 8가지 방법

고급 시작 옵션으로 이동하면 Windows 10 재설정, Windows 10 복원, 이전에 생성한 이미지 파일에서 Windows 10 복원, 시작 오류 수정, 명령 프롬프트를 열어 다른 옵션 선택, UEFI 설정 열기, 시작 설정 변경 등을 수행할 수 있습니다. ..

소셜 네트워크 계정에 로그인하기 전에 신중하게 생각해야 하는 이유는 무엇입니까?

소셜 네트워크 계정에 로그인하기 전에 신중하게 생각해야 하는 이유는 무엇입니까?

새로운 서비스에 가입할 때마다 사용자 이름과 비밀번호를 선택하거나 Facebook이나 Twitter로 간단히 로그인할 수 있습니다. 하지만 꼭 해야 할까요?

Google DNS 8.8.8.8 및 8.8.4.4 변경 지침

Google DNS 8.8.8.8 및 8.8.4.4 변경 지침

DNS Google 8.8.8.8 8.8.4.4는 많은 사용자가 특히 네트워크 액세스 속도를 높이거나 차단된 Facebook에 액세스하기 위해 사용하기로 선택하는 DNS 중 하나입니다.

Windows 10에서 항상 InPrivate 모드로 Microsoft Edge를 시작하는 방법

Windows 10에서 항상 InPrivate 모드로 Microsoft Edge를 시작하는 방법

공유 Windows 10 컴퓨터에서 Microsoft Edge를 사용하고 검색 기록을 비공개로 유지하려는 경우 Edge가 항상 InPrivate 모드에서 실행되도록 설정할 수 있습니다.

대칭 암호화와 비대칭 암호화의 차이점 살펴보기

대칭 암호화와 비대칭 암호화의 차이점 살펴보기

오늘날 일반적으로 배포되는 암호화에는 대칭 암호화와 비대칭 암호화라는 두 가지 유형이 있습니다. 이 두 암호화 유형의 기본적인 차이점은 대칭 암호화는 암호화 및 암호 해독 작업 모두에 단일 키를 사용한다는 것입니다.

Windows에서 전체 화면 모드를 종료하는 방법

Windows에서 전체 화면 모드를 종료하는 방법

컴퓨터의 전체 화면 모드는 불필요한 콘텐츠를 제거합니다. 그렇다면 Windows 전체 화면 모드를 종료하는 방법은 무엇입니까?