WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Mã độc Dyre nguy hiểm đánh bại cơ chế của sandbox
Chuyên gia Aviv Raff của hãng Seculert cho hay một loại mã độc, có liên quan đến hành vi phá hoại và đánh cắp tài khoản ngân hàng trên diện rộng, đang trở nên nguy hiểm hơn nhờ khả năng qua mặt các cơ chế sandbox phổ biến.
Theo chuyên gia, mã độc Dyre vô hiệu hóa các công cụ sandbox phổ biến bằng cách xác định số lượng nhân đang được sử dụng.
Nhiều sandbox hiện nay đang được cấu hình với một nhân duy nhất để phân tích mã độc. Trong khi đó, máy tính hiện nay thường có nhiều hơn một nhân. Vì thế nếu đang chạy trên máy có duy nhất một nhân, mã độc sẽ ngay lập tức kết thúc chương trình để vô hiệu hóa việc phân tích của sandbox.
Kỹ thuật này tuy đơn giản nhưng cũng đủ để đánh bại ít nhất 8 sandbox phổ biến miễn phí và có phí hiện nay.
Dyre có liên quan tới một biến thể khác có tên Dyre Wolf từng đánh cắp khoản tiền 1 triệu đô la từ các tài khoản ngân hàng vào tháng trước.
Chuyên gia đã thông báo tới các nhà phát triển sandbox bị ảnh hưởng về kỹ thuật này.
Bộ tải Upatre của Dyre còn tích hợp thêm các kỹ thuật thâm nhập mới.
Raff cho hay kỹ thuật này chứng minh cho việc không nên chỉ sử dụng riêng cơ chế sandbox để loại bỏ malware.
Tội phạm mạng cùng lúc phải tìm cách thâm nhập vào máy tính mục tiêu đồng thời phải cố gắng tránh các phần mềm diệt virus và các cơ chế phát hiện mã độc.
Trong khi đó, các cơ chế bảo vệ phải đối mặt với mã độc sử dụng các kỹ thuật thâm nhập ngày càng phức tạp có khả năng đánh bại sandbox, máy ảo và các công cụ khác.
Theo chuyên gia, mã độc Dyre vô hiệu hóa các công cụ sandbox phổ biến bằng cách xác định số lượng nhân đang được sử dụng.
Nhiều sandbox hiện nay đang được cấu hình với một nhân duy nhất để phân tích mã độc. Trong khi đó, máy tính hiện nay thường có nhiều hơn một nhân. Vì thế nếu đang chạy trên máy có duy nhất một nhân, mã độc sẽ ngay lập tức kết thúc chương trình để vô hiệu hóa việc phân tích của sandbox.
Kỹ thuật này tuy đơn giản nhưng cũng đủ để đánh bại ít nhất 8 sandbox phổ biến miễn phí và có phí hiện nay.
Dyre có liên quan tới một biến thể khác có tên Dyre Wolf từng đánh cắp khoản tiền 1 triệu đô la từ các tài khoản ngân hàng vào tháng trước.
Chuyên gia đã thông báo tới các nhà phát triển sandbox bị ảnh hưởng về kỹ thuật này.
Bộ tải Upatre của Dyre còn tích hợp thêm các kỹ thuật thâm nhập mới.
Raff cho hay kỹ thuật này chứng minh cho việc không nên chỉ sử dụng riêng cơ chế sandbox để loại bỏ malware.
Tội phạm mạng cùng lúc phải tìm cách thâm nhập vào máy tính mục tiêu đồng thời phải cố gắng tránh các phần mềm diệt virus và các cơ chế phát hiện mã độc.
Trong khi đó, các cơ chế bảo vệ phải đối mặt với mã độc sử dụng các kỹ thuật thâm nhập ngày càng phức tạp có khả năng đánh bại sandbox, máy ảo và các công cụ khác.
Nguồn: The Register