TrickBot惡意軟件可通過檢查屏幕分辨率以實現反分析
臭名昭著的TrickBot木馬已經開始檢查受害者的屏幕分辨率,以檢測惡意軟件是否在虛擬機中運行。
目前Trickbot被評為最高產冠狀病毒COVID-19主題惡意軟件,Trickbot最初是一家銀行木馬,但之後經常用於攻擊以丟棄其他惡意軟件,如勒索軟件,VNC客户端和遠程訪問惡意軟件。僅在上週,與Trickbo相關的行動就發出了數百封電子郵件,聲稱與COVID-19醫療建議和測試有關,每封電子郵件的目的都是通過獨特的“宏觀”惡意文檔附件來誘惑用户安裝Trickbot惡意軟件。
當研究人員分析惡意軟件時,他們通常在配置了各種分析工具的虛擬機中進行。
因此,惡意軟件通常使用反虛擬機技術來檢測該惡意軟件是否正在虛擬機中運行。如果是的話,很可能是由研究人員或自動沙箱系統分析的。
這些反虛擬機技術包括查找特定的進程,Windows服務或計算機名稱,甚至檢查網卡MAC地址或CPU功能。
TrickBot使用屏幕分辨率作為反虛擬機檢查
在網絡安全公司MalwareLab的Maciej Kotowicz發現的TrickBot木馬的新樣本中,該惡意軟件現在正在檢查受感染計算機的屏幕分辨率,以確定它是否是一台虛擬機。
TrickBot從銀行木馬開始,隨着時間的流逝已經演變為可以執行各種惡意行為的程序了。
惡意行為包括通過網絡橫向傳播,竊取瀏覽器中保存的憑據,竊取Active Directory服務數據庫,竊取Cookie和OpenSSH密鑰,竊取RDP,VNC和PuTTY憑證等。
Kotowicz在一條推文中指出,新的TrickBot示例正在檢查計算機的屏幕分辨率是800x600還是1024x768,如果是,則TrickBot將終止。
TrickBot正在檢查這些特定的分辨率,因為研究人員通常是如何配置其惡意軟件分析虛擬機的。
在配置虛擬機時,大多數研究人員不會安裝VM guest虛擬機軟件,該軟件可以提供更好的屏幕分辨率,更好的鼠標控制,改進的網絡以及其他功能。
未安裝該軟件是因為惡意軟件通常會檢查虛擬機來賓軟件使用的文件、註冊表項和進程。
但是,如果沒有來賓軟件,與更高的普通屏幕分辨率相比,虛擬機通常將不允許除800x600和1024x768以外的任何分辨率。
例如,當未安裝其來賓添加軟件時,流行的免費虛擬機軟件VirtualBox的默認分辨率為1024x768。
高級Intel的Vitali Kremez也告訴BleepingComputer,在自動沙箱惡意軟件分析解決方案中使用的虛擬機也使用這種默認解決方案。Kremez告訴BleepingComputer:
“Cuckoo VM通常具有精確的分辨率。其他沙盒引擎(例如JoeSandbox和Any App Run)也依賴具有默認VM分辨率的完全相同的方法。”
知道了這一點,TrickBot開發人員就將這些屏幕分辨率檢查用作另一項反虛擬機檢查的指標。