低解像度有古怪 TrickBot自動停止執行攻擊

低解像度有古怪 TrickBot自動停止執行攻擊

之前提到木馬軟件 Emotet 正利用拍檔 TrickBot 嘅網絡翻生,而 TrickBot 呢隻木馬軟件亦唔惹,因為佢又利用緊新方法避開防毒軟件偵測,只要發現開緊檔案嘅裝置有可能係虛擬機器(Virtual Machine),佢就會停止執行下載惡意軟件嘅流程,而方法就同裝置嘅顯示解像度有關喇。

偵測裝置使用嘅顯示解像度點解咁重要?因為唔少網絡安全專家喺進行分析嘅時候,都會喺虛擬機器執行嘅作業系統上面打開可疑嘅檔案,而為咗節省運算同網絡資源,專家會將虛擬機器嘅顯示解像度設定為 1024 x 768 或以下,呢種解像度用喺而家嘅高解像顯示屏上,正常上網或工作嗰陣畫面真係會起晒狗牙,所以對黑客嚟講,打開緊檔案嘅人絕對唔係普通人,所以如果唔想俾安全專家了解自己嘅攻擊模,真係要避之則吉。

今次 TheAnalyst 安全專家喺分析 TrickBot 最新樣本嘅時候,就發現咗黑客喺散播木馬軟件嘅釣魚電郵 HTML 附件裏面,加入咗呢項偵測功能,只要發現裝置嘅解像度過低,就唔會繼續執行入侵程序,相反會將對方引導去其他網站,以此阻止安全專家發現佢哋用嚟擺放惡意軟件嘅伺服器位址。因為只要有安全專家發現,一般都會將威脅情報分享俾業界人士,再同步到其他品牌嘅防毒軟件進行攔截,所以 TrickBot 今次先會咁小心。

專家又話,其實 TrickBot 或其他惡意軟件以前都嘗試過用顯示解像度作為執行條件,但以往會喺惡意連結引導去到嘅網頁先進行,而今次就直接喺惡意附件嘅編碼上落手腳,絕對係一種減少被連根拔起嘅高招。

詳情:https://zd.net/3o0beH2