بدافزار با دنبال کردن تاریخچه‌ی اسناد Word، محیط مجازی محققان را دور می‌زند!

۱۸۸۳یکی از تکنیک‌هایی که بدافزار برای دور زدن محیط‌های مجازی محققان امنیتی به کار می‌برد، این است که سندهای اخیر آن ماشین را بررسی می‌کند تا متوجه شود که آیا ماشین آلوده‌شده دارای تاریخچه‌ی معقول و قانونیِ کاربری هست یا خبر.

کالیب فنتون محقق ارشد امنیتی در SentinelOne، این تکنیک را در وب‌گاه این شرکت توضیح داده و یک سند ورد مخرب را تحلیل کرده است. این سند اگر تشخیص دهد که در یک محیط مجازی قرار دارد، به‌درستی اجرا نمی‌شود.

فنتون توضیح داد: «اکثر کاربران، مگر آنهایی که فقط ورد را نصب کرده‌اند، معمولاً بیش از دو سند را باز می‌کنند. هرچند در یک ماشین مجازی آزمایشی، این حالت خیلی عادی و نرمال نیست. اگر بدافزار به حد کافی هوشمند باشد تا تشخیص دهد که بر روی یک ماشین مجازی در حال تست شدن است، از انجام هر فعالیت مشکوک و مخرب اجتناب کرده و در نتیجه مدت زمانی که طول می‌کشد توسط این ابزارها شناسایی شود را افزایش خواهد داد.»

در ادامه این پست این‌طور گفته شده: «همین نمونه بدافزار با بررسی آدرس IP سامانه به دنبال تشخیص ماشین مجازی از ماشین واقعی است. بدافزار آدرس IP را مورد بررسی قرار می‌دهد تا بفهمد که این آدرس IP به یک شرکت میزبانی و یا ضدویروس که احتمالاً میزبانی یک ماشین مجازی را انجام می‌دهد، تخصیص داده شده است یا نه.»

اگر تشخیص داده شود که ماشین آلوده‌شده یک ماشین واقعی است، این بدافزار بار داده‌ی یک کی‌لاگر سطح-پایین را در سامانه قرار خواهد داد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap