Maliciozni programi i veština sakrivanja

Foto: pixabay.com

Naime, malver bi trebalo da bude „najtiši“ u slučaju da se nađe u nekoj bezbednosnoj laboratoriji, te na emulatoru – softveru koji omogućava da se određeni program ili proces izvršava na platformi za koju nije predviđen – budući da su sve njegove tajne u tom slučaju ogoljene. Kreatori ransomeware-a WannaCry su, na primer, kao odbranu implementirali program koji, kada je malver ugrožen, pokušava da pristupi web-sajtu koji ne postoji (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com).

Emulatori obično odgovaraju na svaku spoljašnju web adresu, a u nadi da će saznati više o malicioznom programu kojim se bave, što je doprinelo tome da svaka WannaCry kopija „zna“ da li se nalazi na funkcionalnom uređaju, ili pak u „matriksu“ – emulatoru čiji je cilj da je uništi. Kada su sigurnosni istraživači registrovali nepostojeći WannaCry domen, te ga povezali sa serverom, svaka WannaCry kopija na svetu je prestala sa radom.

Jedan novi malver koristi druge načine da otkrije da li se nalazi na „živom telefonu“ ili emulatoru, a radi se o Android malveru koji se distribuira preko Google Play prodavnice, i za utvrđivanje pozicije koristi podatke iz senzora za registrovanje pokreta, budući da ih u emulatorima za mobilne uređaje nema, što doprinosi tome da izgledaju neprirodno stabilno. Kada malver registruje sistem koji izgleda kao da se ne pokreće, ostaje sakriven, te se na taj način štiti od bezbednosnih analiza.

Kao i u slučaju lažnog WannaCry web-sajta, i ovaj problem nije težak za rešavanje, budući da se radi o bazičnim funkcijama koje se lako unose u emulator, ali sistem za sada funkcioniše, i to prilično uspešno.