Как GravityRAT определяет запуск в виртуальной машине

Контроль и слежка

Недавно подразделение исследований угроз Cisco Talos провело интересный анализ GravityRAT, вредоносное ПО в значительной степени оставалось под радаром не менее двух лет и позволяет злоумышленники выполнять разведку на затронутых машинах, эксфильтировать файлы и выполнять произвольный код.

Еще по теме: Как определить работу приложения в песочнице

Процесс заражения компьютера трояном GravityRAT

GravityRAT заражает компьютеры, используя документы Microsoft Office, содержащие небольшой встроенный вредоносный макрос, который выполняет три этапа:

gravityrat

  1. копирует активный документ во временный каталог и переименовывает его как ZIP-архив
  2. распаковывает .zip-файл и извлекает вредоносный исполняемый файл внутри него.
  3. создает запланированную задачу для выполнения этого файла каждый день

Определение запуска в виртуальной машине

Но интересная функция GravityRAT — это набор методов, которые он использует для уклонения от виртуальных сред, которые обычно используются для создания изолированных программ для анализа вредоносных программ.

gravityrat виртуальная машина

В своем анализе Talos идентифицирует семь способов, по которым вредоносное ПО пытается проверить, является ли взломанная система виртуальной машиной (поиск гипервизорных инструментов, проверка версии BIOS, количество ядер и другие стандартные методы), но наиболее необычным является использование запроса WMI для проверки текущей температуры процессора.

Шестой метод проверяет текущую температуру процессора в системе (запись MSAcpi_ThermalZoneTemperature).

Эта тактика часто работает, потому что большинство гипервизоров, включая Hyper-V, VMWare Fusion, VirtualBox, KVM и XEN, не поддерживают функцию проверки температуры: поэтому ответ от запроса WMI является сообщением об ошибке, которое позволяет вредоносному ПО идентифицировать изолированную программную среду ,

Например, вот результат запроса на физическом компьютере, который возвращает температуру 7 термических зон:

Троян gravityrat

И вот вывод на виртуальной машине, выполненный Hyper-V на одном и том же оборудовании:

запуск трояна на виртуальной машине

Из наших тестов и отзывов от нескольких исследователей этот мониторинг не поддерживается в Hyper-V, VMWare Fusion, VirtualBox, KVM и XEN. Важно заметить, что некоторые последние физические системы не поддерживают его (исследователь сообщил, что некоторые Lenovo и Dell не поддержали это). Это означает, что GravityRAT рассмотрит эту физическую машину как виртуальную машину.

Важно отметить, что эта проверка не является надежной, поскольку мы определили физические хосты, которые не сообщают о температуре, однако ее также следует рассматривать как проверку, которая идентифицирует множество виртуальных сред.

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий