Представлена online-энциклопедия методов выявления виртуальной среды
Для обхода обнаружения и анализа исследователями вредоносное ПО определяет, не запущено ли оно на виртуальной машине.
Специалисты компании Check Point запустили online-энциклопедию Malware Evasion Encyclopedia, в которой собраны способы, используемые вредоносным ПО для выявления виртуальной среды.
Для обхода обнаружения и дальнейшего анализа исследователями безопасности вредоносные программы определяют, не запущены ли они на виртуальной машине, например, в VirtualBox или VMWare. Обнаружив виртуальную среду, вредонос просто не запускается, а в некоторых случаях даже самоудаляется.
В Malware Evasion Encyclopedia собраны используемые вредоносным ПО методы обнаружения виртуальной среды. Хотя Malware Evasion Encyclopedia позволит авторам вредоносных программ узнать новые техники, по мнению специалистов Check Point, ценность для сообщества информационной безопасности значительно превышает любые преимущества для разработчиков вредоносного ПО.
В настоящее время энциклопедия состоит из следующих разделов: файловая система, реестр, запросы Generic OS, объекты Global OS, артефакты пользовательского интерфейса, функции ОС, процессы, сеть, ЦП, аппаратное обеспечение, таблицы прошивки, перехватчики и macOS. В каждом разделе есть образец кода, демонстрирующий, как вредонос определяет, запущен ли он в виртуальной среде, и предлагающий соответствующие контрмеры.
Специалисты Check Point планируют дополнять энциклопедию и будут рады помощи от сообщества. По их словам, сайт энциклопедии представляет собой «лицо» учетной записи GitHub, где собрана вся информация. Любой желающий, обнаруживший новую технику, которую использует вредоносное ПО для выявления виртуальной среды, может подать запрос и добавить ее в энциклопедию.
Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!