image

Windows vermommen als vm kan malware voorkomen

vrijdag 20 januari 2017, 10:17 door Redactie, 7 reacties

Om detectie door onderzoekers en beveiligingsbedrijven te voorkomen zijn er malware-exemplaren die kijken of ze in een virtual machine draaien en als dit zo is het systeem niet infecteren. Deze controle kan echter ook worden gebruikt om normale Windows-computers tegen malware te beschermen.

Dat stelt Thomas Roccia van beveiligingsbedrijf McAfee. Door verschillende sleutels van virtual machines aan het Windows Register toe te voegen, alsmede verschillende bestanden en processen aan te maken kan de malware denken dat het om een echte virtual machine gaat en vervolgens besluiten de computer niet te infecteren. Uit een test van Roccia blijkt dat deze methode inderdaad kan werken.

"Malware is zich continu aan het ontwikkelen en steeds geavanceerder aan het worden. Analyse en detectie wordt lastiger en tijdsintensiever. Deze proof-of-concept laat een nieuwe manier zien om tegen malware-infecties te beschermen door een virtuele omgeving te emuleren", aldus de onderzoeker. Roccia merkt op dat deze methode geen vervanging voor beveiligingssoftware is. "Maar het kan je verdediging wel aanvullen. Soms moeten we verschillende tactieken proberen om malware te bestrijden."

Image

Reacties (7)
20-01-2017, 10:27 door Anoniem
Het voorkomt geen malware, maar het uitvoeren van bepaalde nadelige acties zoals ransomware zou doen. Dus de malware wordt wel uitgevoerd.

Het is een geval van helaas dat zodra je zoiets aan de grote klok hangt, het voordelig effect verminderd. Dat effect hebben bekende anti-virus bedrijven ook. Zodra updates worden uitgegeven, wordt daar tegen getest door de malware schrijvers, met als gevolg dat de detectie niet meer werkt.
20-01-2017, 10:28 door Anoniem
Hitmanpro.alert gebruikt deze "feature" ook en noemt dit "Vaccinate"
20-01-2017, 10:31 door Anoniem
Nou, dat wordt dan expres Malware maken die VMs niet kan detecteren!
20-01-2017, 11:39 door Mend0x
Door Anoniem: Nou, dat wordt dan expres Malware maken die VMs niet kan detecteren!
Malware onderzoekers gebruiken vaak VM's / schone installaties om malware te analyseren. Die analyse wil je zo moeilijk mogelijk maken als malware auteur, omdat die analyse vaak leidt tot betere detectie door anti-virus oplossingen.
De detectie van VM's is een poging om ervoor te zorgen dat een (al dan niet geautomatiseerde) malware onderzoeker geen kwaadaardige processen kan vinden.
Door een normale computer te vermommen als een "malware-onderzoekers-VM" voorkom je infectie. De auteurs gaan waarschijnlijk ook niet de check eruit halen, dus vermoedelijk leidt dit tot betere checks, zoals bijvoorbeeld checken of er een browsergeschiedenis aanwezig is, controleren of er wel gebruikers bestanden zoals Office documenten aanwezig zijn etc.
20-01-2017, 15:46 door dnzm
Door Mend0x:De auteurs gaan waarschijnlijk ook niet de check eruit halen, dus vermoedelijk leidt dit tot betere checks, ...

En zo maken we samen malware steeds een stukje veiliger! /s
20-01-2017, 19:09 door Anoniem
Door Anoniem: Nou, dat wordt dan expres Malware maken die VMs niet kan detecteren!

Er is nog een optie: geen malware maken.
22-01-2017, 09:15 door Anoniem
Wat ik begrijp is dat zo'n AV-evasion gescript wordt met eenvoudige 'if-then exit'-achtige routines. Daarom zou het in mijn simpele begrip van deze materie, eenvoudig moeten zijn op deze scripts te zoeken. Kan iemand hier iets meer over toelichten waarom de wereld kennelijk niet zo eenvoudig in elkaar steekt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.