欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

TrickBot恶意软件可通过检查屏幕分辨率以实现反分析

admin2020-07-1465技术


臭名昭著的TrickBot木马已经开始检查受害者的屏幕分辨率,以检测恶意软件是否在虚拟机中运行。

目前Trickbot被评为最高产冠状病毒COVID-19主题恶意软件,Trickbot最初是一家银行木马,但之后经常用于攻击以丢弃其他恶意软件,如勒索软件,VNC客户端和远程访问恶意软件。仅在上周,与Trickbo相关的行动就发出了数百封电子邮件,声称与COVID-19医疗建议和测试有关,每封电子邮件的目的都是通过独特的“宏观”恶意文档附件来诱惑用户安装Trickbot恶意软件。

当研究人员分析恶意软件时,他们通常在配置了各种分析工具的虚拟机中进行。

因此,恶意软件通常使用反虚拟机技术来检测该恶意软件是否正在虚拟机中运行。如果是的话,很可能是由研究人员或自动沙箱系统分析的。

这些反虚拟机技术包括查找特定的进程,Windows服务或计算机名称,甚至检查网卡MAC地址或CPU功能。

TrickBot使用屏幕分辨率作为反虚拟机检查

在网络安全公司MalwareLab的Maciej Kotowicz发现的TrickBot木马的新样本中,该恶意软件现在正在检查受感染计算机的屏幕分辨率,以确定它是否是一台虚拟机。

TrickBot从银行木马开始,随着时间的流逝已经演变为可以执行各种恶意行为的程序了。

恶意行为包括通过网络横向传播,窃取浏览器中保存的凭据,窃取Active Directory服务数据库,窃取Cookie和OpenSSH密钥,窃取RDP,VNC和PuTTY凭证等。

Kotowicz在一条推文中指出,新的TrickBot示例正在检查计算机的屏幕分辨率是800x600还是1024x768,如果是,则TrickBot将终止。


TrickBot正在检查这些特定的分辨率,因为研究人员通常是如何配置其恶意软件分析虚拟机的。

在配置虚拟机时,大多数研究人员不会安装VM guest虚拟机软件,该软件可以提供更好的屏幕分辨率,更好的鼠标控制,改进的网络以及其他功能。

未安装该软件是因为恶意软件通常会检查虚拟机来宾软件使用的文件、注册表项和进程。

但是,如果没有来宾软件,与更高的普通屏幕分辨率相比,虚拟机通常将不允许除800x600和1024x768以外的任何分辨率。

例如,当未安装其来宾添加软件时,流行的免费虚拟机软件VirtualBox的默认分辨率为1024x768。

高级Intel的Vitali Kremez也告诉BleepingComputer,在自动沙箱恶意软件分析解决方案中使用的虚拟机也使用这种默认解决方案。Kremez告诉BleepingComputer:

“Cuckoo VM通常具有精确的分辨率。其他沙盒引擎(例如JoeSandbox和Any App Run)也依赖具有默认VM分辨率的完全相同的方法。”

知道了这一点,TrickBot开发人员就将这些屏幕分辨率检查用作另一项反虚拟机检查的指标。

本文翻译自:https://www.bleepingcomputer.com/news/security/trickbot-malware-now-checks-screen-resolution-to-evade-analysis/:

【高端培训报名中】大牛神操作!带你刷爆Linux malware/botnet捕获分析全过程!

过去几年,我们见证了Linux malware/botnet的蓬勃发展,一些常见的家族名也逐渐为大家所熟悉,比如XORDDOS、BillGates、Gafgyt、Mirai等。这其中以2016年出现的Mirai最令人印象深刻。它不仅拥有极强的破坏力,还制造出了使Dyn/Twitter和德国电信断网的大新闻,其僵尸网络的规模甚至突破了数十万的超高量级。 正是Mirai的强大破坏力,人们才更加清晰的认识到原来互联网上有如此多不安全的Linux设备,它们主要是网络摄像头和家用路由器这类IoT设备,由于自身防御能力低但网络带宽充足,因此一旦被黑客控制便会产生不可估量的严重后果。 受Mirai“成功故事”的启发,更多的黑产从业者将目光瞄准网上的Linux设备尤其是IoT设备,旨在挖掘出新的传播漏洞。更糟糕的是2016年9月底,Mirai的作者故意泄露了他们的源代码,这更是大大降低了Linux malware的编写门槛,其它作者纷纷在Mirai代码基础上改编出他们自己的“作品”

网友评论