[Bạn có biết]: Mã độc lợi dụng độ phân giải màn hình để tránh bị phát hiện

Nhiều năm qua, những chuyên gia phát triển phần mềm độc hại và chuyên gia an ninh mạng liên tục trong tình trạng chiến đấu với nhau. Gần đây, cộng đồng chuyên phát triển phần mềm độc hại đã tìm ra một chiến thuật tấn công mới: kiểm tra độ phân giải màn hình.

Qua bài viết này, hãy cùng tìm hiểu xem độ phân giải màn hình thì liên quan gì đến phần mềm độc hại và cả tác động của nó đối với người dùng.

Vì sao phần mềm độc hại lại quan tâm đến độ phân giải màn hình?

Để tìm câu trả lời cho câu hỏi trên, trước hết chúng ta phải kể đến kẻ thù đáng sợ nhất của phần mềm độc hại, đó là máy ảo (virtual machine - VM).

Máy ảo là một công cụ hữu hiệu của các chuyên gia nghiên cứu virus. Chúng hoạt động như "một chiếc máy tính trong máy tính", vì vậy bạn có thể sử dụng một hệ điều hành khác song song mà không cần phải mua máy mới.

Ví dụ, nếu bạn đang sử dụng Windows 10 trên máy tính của mình nhưng bạn cũng muốn dùng cả Linux. Bạn có thể cài đặt một máy ảo bên trong Windows 10 để chạy hệ điều hành Linux. Nó sẽ hoạt động như một máy tính Linux bình thường, điều khác biệt là nó chạy trên một cửa sổ trong Windows.

Máy ảo rất hữu ích đối với chuyên gia nghiên cứu virus vì nó như một mỹ nhân nằm giữa chiếc bẫy vậy. Nếu các nhà nghiên cứu cho rằng một ứng dụng hay tệp tin có chứa virus, họ có thể kiểm tra chúng bằng cách mở nó trong một máy ảo.

Nếu tệp tin đó chứa virus, nó sẽ lây nhiễm cho máy ảo. Vì máy ảo được cài đặt như một máy thật nên virus vẫn cho rằng nó đang tấn công một máy tính thật. Vì vậy, nó bắt đầu hoạt động và gây thiệt hại cho máy ảo. May mắn là những hư hỏng do virus gây ra trên máy ảo không ảnh hưởng đến máy chính, nó chỉ có thể tác động đến máy ảo mà thôi.

Trong khi virus đã giở hết các chiêu trò của mình, các chuyên gia sẽ theo dõi cách chúng hoạt động sau đó cài đặt lại máy ảo. Từ những thông tin có được trong máy ảo, các chuyên gia sẽ tạo ra một nhận dạng virus mới để bảo vệ máy tính thật của người dùng.

Chính vì vậy, máy ảo là một công cụ chống phần mềm độc hại rất hiệu quả. Nếu nghi ngờ một phần mềm là nguy hại, bạn có thể kiểm tra bằng máy ảo và vứt nó đi ngay khi phát hiện ra "hàng đểu".

Vậy độ phân giải màn hình liên quan như thế nào?

Có một lỗ hổng trong cách kiểm tra phần mềm như trên. Khi một chuyên gia nghiên cứu phần mềm độc hại cài đặt máy ảo, họ thường không cài đầy đủ tất cả các tính năng. Mọi thứ họ cần là một máy ảo hoạt động được như máy tính thật, còn lại có cũng được mà không cũng chẳng sao.

Do đó, các chuyên gia thường không cài phần mềm khách (guest software) cho máy ảo. Phần mềm khách giúp kích hoạt những tính năng mở rộng như độ phân giải màn hình cao hơn, thứ mà các chuyên gia nghiên cứu virus không cần lắm. Nếu người dùng không cài phần mềm khách, máy ảo thường sẽ chỉ cung cấp hai độ phân giải thấp là 800x600 pixel và 1024x768 pixel.

Hai độ phân giải này rất quan trọng với những chuyên gia phát triển phần mềm độc hại. Máy tính để bàn và máy tính xách tay ngày nay không sử dụng màn hình với độ phân giải thấp như vậy, chúng đã quá lỗi thời.

Trên thực tế, bạn có thể xem mức độ lỗi thời của nó qua biểu đồ của Statcounter, biểu đồ thể hiện độ phân giải màn hình được sử dụng nhiều nhất. Độ phân giải màn hình phổ biến có xu hướng cả lớn hơn và nhỏ hơn độ phân giải do máy ảo cung cấp.

Trên biểu đồ, bạn có thể thấy độ phân giải thông thường cho máy tính xách tay là 1366x768 và 1920x1080 cho máy để bàn. Còn phần còn lại, bạn sẽ thấy những màn hình rất bé với độ phần giải 360x640 dành cho màn hình điện thoại.

800x600 và 1024x768 hoàn toàn không xuất hiện. Trái lại, độ phân giải 768x1024 lại có mặt, đây là độ phân giải của iPad. Tuy nhiên, nó chỉ chiếm 2,6%, có nghĩa là 97,4% thiết bị sử dụng những độ phân giải khác.

Phần mềm độc hại sử dụng dữ liệu này để tránh máy ảo như thế nào?

Khi một phần mềm độc hại vào được máy tính và nhận ra nó đang hoạt động ở độ phân giải 800x600 hoặc 1024x768; có thể do máy tính có phần cứng quá lỗi thời hoặc nguy cơ cao hơn là nó đang bị theo dõi trong máy ảo.

Nếu virus hoạt động dưới điều kiện này thì chẳng khác nào "lạy ông tôi ở bụi này" và "vạch áo cho người xem lưng". Vì vậy, để bảo vệ bí mật của mình, phần mềm độc hại sẽ tự hủy và không gây ra bất cứ thiệt hại nào.

Từ quan điểm của chuyên gia nghiên cứu, phần mềm đã hoạt động và không lây nhiễm cho máy tính, chứng tỏ nó lành tính. Họ có thể kết luận một báo cáo âm tính giả cho phần mềm đó và cho phép phần mềm độc hại lây lan rộng hơn trước khi bị phát hiện.

Ví dụ thực tế về phần mềm độc hại kiểm tra độ phân giải

Trickbot là một ví dụ tuyệt vời cho chiến thuật này. Gần đây, các chuyên gia đã đột nhập vào bộ mã của TrickBot và phân tích cách hoạt động của nó. Tài khoản Twitter có tên Mak (@maciekkotowicz) đã tìm thấy một đoạn mã trong TrickBot có chức năng dò tìm độ phân giải 800x600 và 1024x768.

Trong đoạn mã này, virus lấy giá trị X và Y từ độ phân giải của máy tính sau đó kết hợp lại để lấy kết quả. Nếu kết quả tương đương 800x600 hay 1024x768 thì đoạn mã trả về giá trị 0. Và nó cho phần mềm độc hại biết chúng đang hoạt động trên một máy ảo.

Một khi phần mềm độc hại phát hiện máy ảo, nó sẽ tự hủy để tránh bị phát hiện. Kết quả là những ai kiểm tra phần mềm bằng máy ảo sẽ có kết quả không chính xác và cho rằng chúng an toàn.

Chiến thuật này có ý nghĩa như thế nào đối với người dùng?

Dễ thấy nhất là nếu bạn dùng độ phân giải 800x600 hay 1024x768 thì sẽ được miễn nhiễm với một số loại phần mềm độc hại. Một khi có mặt trên máy tính của bạn, chúng sẽ phát hiện ra độ phân giải và tự hủy trước khi gây ra thiệt hại nào. Tuy nhiên, để đổi lại sự bảo vệ đó, bạn sẽ nhanh chóng bị hoa mắt vì độ phân giải màn hình quá thấp!

Cho nên, cách tốt nhất để chống lại loại phần mềm độc hại mới này là cập nhật chương trình diệt virus. Mẹo tránh máy ảo của phần mềm độc hại đã được biết đến rộng rãi nên không có lý gì mà những công ty bảo mật công nghệ cao lại bị đánh lừa một lần nữa.

Tuy nhiên, có một lưu ý quan trọng nếu bạn thường tự kiểm tra tệp tin trên máy ảo của mình là nên chỉnh độ phân giải khác với hai tỉ lệ trên. Nếu không, bạn sẽ không thể chắc chắn tệp tin của mình có nhiễm phần mềm độc hại chống máy ảo hay không.

Giữ chiếc máy tính của bạn an toàn

An ninh mạng đang trở thành một nền công nghiệp khổng lồ, do vậy những chuyên gia phát triển phần mềm độc hại phải luôn đi trước một bước. Những loại phần mềm độc hại mới sẽ tránh được sự phát hiện nếu chạy trên một máy ảo không được chuẩn bị kỹ càng. Vì vậy, nếu bạn thường xuyên dùng máy ảo để kiểm tra phần mềm, hãy nhớ kỹ thông tin này nhé.

Minh Bảo (Theo Make Use Of)