Malware ελέγχει αν εκτελείται στο Any.Run, ώστε να αποφύγει την ανάλυση

Οι δημιουργοί malware έχουν αρχίσει να ελέγχουν εάν το κακόβουλο λογισμικό τους εκτελείται στην υπηρεσία ανάλυσης malware Any.Run, για να αποτρέψουν την εύκολη ανάλυση των κακόβουλων προγραμμάτων από ερευνητές.

Το Any.Run είναι μια malware analysis sandbox υπηρεσία, που επιτρέπει σε ερευνητές και χρήστες να αναλύουν με ασφάλεια τα κακόβουλα λογισμικά χωρίς να θέτουν σε κίνδυνο τους υπολογιστές τους.

Όταν ένα εκτελέσιμο αρχείο υποβάλλεται στο Any.Run, η sandbox υπηρεσία θα δημιουργήσει μια εικονική μηχανή Windows με ένα interactive remote desktop και θα εκτελέσει το υποβληθέν αρχείο μέσα σε αυτό.

Οι ερευνητές μπορούν να χρησιμοποιήσουν το interactive Windows desktop για να δουν ποια συμπεριφορά παρουσιάζει το malware, καθώς το Any.Run καταγράφει τη δραστηριότητα δικτύου, τη δραστηριότητα αρχείων και τις αλλαγές μητρώου.

Τα malware αρχίζουν να ελέγχουν αν εκτελούνται στο Any.Run

Ο ερευνητής ασφαλείας JAMESWT ανακάλυψε μια νέα spam εκστρατεία, όπου κακόβουλα PowerShell scripts κατεβάζουν και εγκαθιστούν malware σε έναν υπολογιστή.

Κατά την εκτέλεση του πρώτου script, γίνεται λήψη δύο scripts στον υπολογιστή του θύματος, που περιέχουν κακόβουλο λογισμικό.

Το παραπάνω script θα αποκωδικοποιήσει το ενσωματωμένο malware και θα το εκτελέσει στον υπολογιστή.

Όταν εκτελεστεί το δεύτερο script, θα ξεκινήσει το Azorult Trojan, που κλέβει κωδικούς πρόσβασης.

Εάν εντοπίσει ότι το πρόγραμμα εκτελείται στο Any.Run, θα εμφανιστεί το μήνυμα “Any.run Deteceted!” και θα σταματήσει να λειτουργεί. Έτσι, το malware δεν θα εκτελεστεί και το sandbox δεν θα μπορέσει να το αναλύσει.

Χρησιμοποιώντας αυτήν τη μέθοδο, οι εγκληματίες του κυβερνοχώρου δυσκολεύουν τους ερευνητές να αναλύσουν τις επιθέσεις μέσω του Any.Run.

Φυσικά, οι ερευνητές μπορούν να βρουν και άλλους τρόπους να αναλύσουν ένα συγκεκριμένο κακόβουλο λογισμικό, αλλά θα χρειαστεί να καταβάλουν μεγαλύτερη προσπάθεια.

Οι ερευνητές ασφαλείας βασίζονται όλο και περισσότερο σε πλατφόρμες ανάλυσης malware, τύπου Any.Run, κάτι το οποίο δεν περνά απαρατήρητο από τους κακόβουλους hackers. Επομένως, πρέπει να περιμένουμε ότι θα βρουν κι άλλους τρόπους για να αποφύγουν την ανίχνευση και την ανάλυση των λογισμικών τους.