Исследователи обнаружили новый штамм VBA-зловреда, который во избежание детектирования уходит в спящий режим, когда обнаруживает тестовую среду. Согласно записи Калеба Фентона (Caleb Fenton) в блоге SentinelOne, с этой целью новобранец просто пересчитывает все документы на ПК или фиксирует их отсутствие; если итог не соответствует заданному числу, исполнение отменяется.

Фентон обнаружил вредоносную программу после нескольких неудачных попыток заставить образец проявить вредоносную активность. По его словам, отсутствие документов Microsoft Office или наличие тестовой песочницы сразу настораживают зловреда и помогают ему остаться в тени. «Если зловред способен выявить тестирование на виртуальной машине, он воздержится от подозрительных или вредоносных действий и тем самым продлит время, за которое его можно задетектировать такими средствами», — пишет Фентон в блоге.

Типовая среда тестирования предполагает установку нового образа Windows на виртуальную машину. Этот образ, по словам Фентона, обычно не содержит документы и прочие очевидные признаки реального окружения. Обнаруженный им образец вредоносного ПО (Intelligent Software Solutions Inc[.]doc) продемонстрировал поиск существующих документов Word на целевом ПК. Если таковых не обнаружено, вредоносный макрос завершает исполнение во избежание детектирования и анализа автоматизированными средствами. Если же их оказалось более двух, VBA-зловред загружает и устанавливает полезную нагрузку — кейлоггер.

По данным SentinelOne, данный зловред распространяется через спам. Документы Word он ищет, обращаясь к Windows-функции RecentFiles, позволяющей просмотреть список недавно открытых или созданных документов. Обнаружив нужное количество свидетельств реальности машины, вредоносная программа  активирует скрипт PowerShell, который подключается к C&C-серверу и загружает простейший кейлоггер.

Фентон также описал еще один трюк, используемый зловредом для обхода VM. Он пытается получить информацию об IP-адресе, используя веб-сервис Maxmind. Если IP ассоциирован с организацией (BlueCoat, Palo Alto и т.п.) из черного списка, вшитого в код, исполнение приостанавливается.

Защита против VM и песочниц — далеко не новость в мире вирусописательства. Фентон, к примеру, напомнил о недавней находке Proofpoint, обнаружившей вредоносный макрос, который проверяет IP-адрес перспективной жертвы. В минувшем июне исследователи из Zscaler рассказали о разных техниках обнаружения виртуальной среды и автоматизированного анализа, используемых создателями VBA-зловредов.

Фентон также отметил, что вредоносные макросы, видимо, заимствуют способы самозащиты у более сложных зловредов. «Эти детектирующие документы сэмплы представляют новый тренд в развитии вредоносного ПО на основе VBA, — заявил эксперт журналистам Threatpost. — В более сложных зловредах эта техника ухода от обнаружения вполне ожидаема, однако менее солидным вредоносным макросам она обычно не свойственна».

Со слов Фентона, вирусописатели также отлично знают, что использование обфускации продлевает срок жизни зловредов и повышает их рентабельность. «Все сводится к экономической выгоде, — говорит собеседник Threatpost. — Чем дольше зловред остается в тени, тем больший урон он может нанести в дикой природе». Фентон прогнозирует, что в ближайшем будущем техники ухода вредоносного ПО от обнаружения получат более широкое распространение.

Категории: Аналитика, Вредоносные программы