Mã độc tìm ra cách mới để phát hiện máy ảo

13:10 | 30/09/2016 | HACKER / MALWARE

Mã độc có thể phát hiện ra chúng đang chạy trong môi trường máy ảo do một số đặc điểm của môi trường này và tìm cách ẩn mình để tránh bị phát hiện.

Mã độc tìm ra cách mới để phát hiện máy ảo

Chẳng hạn như các máy ảo VMware chạy hệ điều hành Windows sẽ có các khóa sau trong registry:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\DriverDesc,

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\ProviderName.

Các cấu trúc bộ nhớ Store Interrupt Descriptor Table (SIDT) nằm tại vùng nhớ nhất định, các tiến trình và tệp đặc thù (VMwareService.exe, VMwareTray.exe), các thuộc tính phần cứng hay địa chỉ MAC cũng có thể là dấu hiệu giúp nhận biết môi trường VMWare.

Chẳng hạn như máy ảo VMWare thường có địa chỉ MAC bắt đầu bằng 00-05-69, 00-0c-29, 00-1c-14 hay 00-50-56. BIOS serial number của các máy ảo VMWare sẽ có chuỗi ‘VMware’. Để đánh lừa mã độc, người ta đã nghĩ ra các biện pháp chặn và thay đổi giá trị do API trả về .

Tuy nhiên, cuộc chạy đua vẫn chưa chấm dứt. Trong quá trình phân tích, chuyên gia nghiên cứu cao cấp Caleb Fenton của công ty SentinelOne vừa phát hiện một kỹ thuật mới của mã độc. Loại mã độc mà ông xem xét không chịu kích hoạt vì máy ảo mà ông dùng để thử nghiệm (chưa từng mở một tài liệu Word nào).

Ông nói rằng, phần lớn người dùng từng mở nhiều hơn hai văn bản Word. Tuy nhiên, trên máy ảo dùng để bẫy mã độc thì không có dấu tích nào, vì chẳng có ai sử dụng máy đó để làm việc. Ngoài ra, các nhà nghiên cứu thường khôi phục máy ảo về trạng thái gốc khi bắt tay vào xem xét một loại mã độc mới.

Vì thế, lịch sử của trình soạn thảo văn bản sẽ trống. Nhờ nhận biết đang ở trong môi trường thử nghiệm nên mã độc sẽ tránh thực hiện các hành vi đáng ngờ, phá hoại và tránh bị phát hiện. Trên những máy có lịch sử soạn thảo văn bản, mã độc sẽ kích hoạt và tải thêm những cấu phần phá hoại.

‹ › ×

Tin cùng chuyên mục

Hacker đe dọa làm lộ cơ sở dữ liệu nhạy cảm của World-Check

10:00 | 17/05/2024

Một hacker bị cáo buộc đã đánh cắp cơ sở dữ liệu quan trọng do Tập đoàn giao dịch chứng khoán Luân Đôn (LSEG) duy trì có chứa thông tin về những kẻ khủng bố, tội phạm tiềm năng và các cá nhân có nguy cơ cao hiện đang bị đe dọa rò rỉ hàng loạt dữ liệu nhạy cảm.

AT&T xác nhận dữ liệu của 73 triệu khách hàng bị rò rỉ

13:00 | 05/04/2024

Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.

Tin tặc Earth Krahang của Trung Quốc xâm nhập 70 tổ chức tại 23 quốc gia

13:00 | 28/03/2024

Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.

Lỗ hổng Opera Myflaw cho phép tin tặc thực thi tệp bất kỳ trên macOS và Windows

09:00 | 13/02/2024

Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.