Ensiklopedia evasion malware baru telah diluncurkan yang menyuguhkan wawasan tentang berbagai metode yang digunakan malware untuk mendeteksi apakah itu berjalan di bawah lingkungan mesin virtual atau tidak. Hal ini biasanya digunakan malware untuk menghindari deteksi dan analisis oleh peneliti keamanan.
Jika metode ini menunjukkan bahwa itu sedang dijalankan dalam mesin virtual, maka malware tidak akan berjalan, dan dalam beberapa kasus, malware menghapus sendiri untuk mencegah analisis.
Ensiklopedia evasion malware
Dibuat oleh Check Point Research, ensiklopedia evasion malware ini dipecah menjadi berbagai kategori informasi yang akan digunakan malware untuk mendeteksi jika malware itu berjalan di bawah mesin virtual.
Meskipun dari berbagi informasi ini memberikan dampak untuk pembuat malware menjadi bisa mempelajari beberapa teknik baru, Check Point merasa bahwa value berbagi informasi ini untuk komunitas keamanan jauh melebihi manfaat dari apa yang didapat oleh pembuat malware.
“Keyakinan kami bahwa value berbagi dengan komunitas jauh lebih besar daripada risiko pembuat malware menggunakan ini,” kata Check Point Research.
Untuk saat ini, bagian dalam ensiklopedia dengan teknik yang tercantum diantaranya adalah:
- Filesystem
- Registry
- Generic OS queries
- Global OS objects
- UI artifacts
- OS features
- Processes
- Network
- CPU
- Hardware
- Firmware tables
- Hooks
- macOS
Di dalam setiap bagiannya, ada potongan kode yang menggambarkan bagaimana malware menggunakan metode untuk menentukan apakah itu berjalan di bawah lingkungan mesin virtual dan menyarankan langkah-langkah untuk mengatasi metode tersebut.
Selain itu, Check Point juga memberitahu bahwa mereka akan terus memperbarui ensiklopedia secara berkelanjutan dan menerima masukan dari komunitas keamanan.
