Af Eskil Sørensen, 03/07/20
Den berygtede TrickBot er begyndt at kontrollere skærmopløsninger på ofrenes maskiner for at tjekke, om malwaren kører i en virtuel maskine. Det skriver Bleeping Computer.
Kører malwaren i en virtuel maskine med en bestemt skærmopløsning, vil Trickbot afsluttes. En bestemt skærmopløsning kan nemlig være et udtryk for, at malwaren er lukket inde i en virtuel maskine. Det er typisk i virtuelle maskiner, at analytikere kigger nærmere på malwaren ved hjælp af forskellige analyseværktøjer. For at modvirke dette bruger TrickBot-malware mv. særlige teknikker til at registrere, om malwaren kører i en virtuel maskine. Disse teknikker har hidtil omfatte tjek efter bestemte processer, Windows-tjenester eller maskinnavne. Det har endda omfattet kontrol af netværkskortets MAC-adresser eller CPU-funktioner. På den måde kan malwaren tjekke, om den er faldet i en fælde.
Som det nye i denne teknik er TrickBot for nyligt begyndt at teste skærmopløsningen, for at se om der er tale om en virtuel maskine.
Når analytikere konfigurerer en virtuel maskine, installeres typisk ikke gæstesoftware, der bl.a. vil kunne giver bedre skærmopløsninger, bedre musekontrol, forbedret netværk og andre funktioner. Men uden gæstesoftwaren tillader en virtuel maskine typisk ikke andre opløsninger end 800x600 og 1024x768. Bleeping Computer nævner som et eksempel den gratis, virtuelle maskinsoftware VirtualBox, som har en standardopløsning på 1024x768.
Det betyder med andre ord: Når man som analytiker ikke installerer gæstesoftware i den virtuelle maskine for at skjule den virtuelle maskine, så kan malwaren alligevel tjekke, om den er havnet i en virtuel maskine ved at teste skærmopløsningen. Svarer skærmopløsningen til 800x600 og 1024x768, vil TrickBot afsluttes.
TrickBot startede oprindeligt som en bank-trojaner, men har udviklet sig til at kunne få adgang til gemte legitimationsoplysninger i browsere, adgang til Active Directory Services-databaser, cookies og OpenSSH-nøgler, RDP, VNC og PuTTY-legitimationsoplysninger med mere.