Phần mềm độc hại hiện có thể tấn công được cả máy ảo

25/09/2016 13:22 GMT+7

Khi muốn phân tích một phần mềm độc hại, các nhà nghiên cứu thường sử dụng máy ảo nhằm giúp hệ thống chính không bị nhiễm độc, và khi muốn thoát khỏi phần mềm độc hại chỉ việc tắt máy ảo là xong.

Nhưng một phát hiện gần đây cho thấy các phần mềm độc hại đã thay đổi cách thức làm việc, bằng cách phát hiện ra liệu hệ thống mà chúng đang chạy sẽ là nạn nhân thực sự hay chỉ đơn giản là được dùng để thử nghiệm và phân tích, theo Neowin.
Caleb Fenton - nhà nghiên cứu tại hãng bảo mật SentinelOne Caleb (Mỹ) phát hiện ra kỹ thuật mới của tin tặc khi cố gắng mở khóa một phần mềm độc hại đính kèm một tập tin tài liệu với macro. Tuy nhiên, mã độc đã từ chối hoạt động khi nó phát hiện ra rằng hệ thống này không có thật.
Ông Fenton cũng nhận thấy rằng các phần mềm độc hại mới có thể phát hiện ra nó thực sự đang chạy trên một máy ảo dựa vào thông tin về địa chỉ IP. Nó sẽ kiểm tra xem địa chỉ IP đó có giống với một nhà cung cấp bảo mật hoặc sandbox - một dạng phần mềm ảo hóa cho phép các phần mềm hoạt động trong môi trường ảo đã được cách ly. Nếu đúng, nó sẽ chấm dứt hoạt động.
“Nếu phần mềm độc hại đủ thông minh để biết khi nào nó đang được chạy thử nghiệm trong một máy ảo, nó có thể tránh làm bất cứ hành vi đáng ngờ hoặc nguy hiểm, từ đó làm mất thời gian để các nhà nghiên cứu phát hiện”, Fenton cho biết thêm.
Được biết, các phần mềm độc hại gần đây thường tận dụng macro trên tài liệu Word để tấn công người dùng. Chúng thường được ngụy trang như một số tài liệu quan trọng, và sẽ yêu cầu nạn nhân kích hoạt các macro để xem nội dung.
Theo khuyến cáo từ các chuyên gia an ninh, mọi người cần phải cẩn thận với các tập tin lạ được tải từ internet, bởi các mã độc ngày nay đang trở nên thông minh hơn và phức tạp hơn theo thời gian.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.