بدافزار‌های جدید قدرت شناسایی ماشین‌ های مجازی را دارند

اکنون بدافزار‌ها می‌توانند ماشین‌های مجازی را شناسایی و مانند یک جاسوس جنگ سرد، به آن‌ها نفوذ کنند.

به گزارش سافت گذر و به نقل اززومیت؛یکی از راه‌های مؤثر برای مقابله با بدافزار‌ها استفاده از ماشین‌های مجازی مانند Sandbox است؛ چرا که اگر نرم‌افزاری مخرب باشد، فقط در محدوده ماشین مجازی می‌تواند عمل کند و به بقیه سیستم سرایت نخواهد کرد. اما تروجان‌ها در حال تکامل هستند و سازندگان آن‌ها نیز در حال پیدا کردن راه‌هایی برای تشخیص و آلوده سازی ماشین‌های مجازی هستند.

این موضوع توسط کِیلب فنتون و به وسیله شرکت امنیتی SentinelOne کشف شد. این شکل جدید از بدافزار قادر خواهد بود به ماشین‌های مجازی نفوذ کند؛ ظاهرا این کار توسط تجزیه و تحلیل تعدادی از اسناد، مانند فایل‌های Word روی ماشین مجازی انجام می‌شود.

روند کار به این صورت است که بدافزار پس از اینکه متوجه شد در ماشین مجازی قرار دارد، ابتدا نامرئی می‌شود و بهترین حالت را برای مخفی شدن خودش ایجاد می‌کند تا از تمام تکنیک‌های تشخیصی دور بماند.

محققان امنیتی می‌توانند از ماشین‌های مجازی برای یادگیری بخش‌های مختلف یک بدافزار کمک بگیرند، اما الگوریتم جدید به بدافزار‌ها اجازه خواهد داد تا خود را تکثیر کنند.

در یک نمونه خاص که توسط فنتون کشف شد، بدافزار می‌تواند یک ماشین مجازی را برای یافتن اسناد مایکروسافت ورد از طریق عملکرد Recent Documents Windows پیدا کند. بدافزار آنتی-سندباکس می‌تواند آی‌پی سیستم را تشخیص دهد و از کامپیوتر‌هایی که بدافزار مورد نظر را در سیستم امنیتی خود، در لیست سیاه قرار داده‌اند، فرار کند. مجددا، اگر بدافزار تشخیص دهد که به دام افتاده است، عمدا تمامی فعالیت‌هایش را مخفی می‌کند تا قابل تشخیص نباشد.

اگر چه این تکنیک نسبتا جدید است و تکامل تروجان‌ها را در جنگ بین ویروس‌ها و آنتی‌ویروس‌ها نشان می‌دهد، اما گسترش زندگی بدافزارها می‌تواند روش طولانی‌تری برای بهبود زیست پذیری آن‌ها باشد، اگرچه در اغلب موارد ساخت بدافزار سخت‌تر از کشتن آن است.