Comodo Valkyrie 페이지에서 파일에 대한 "정적 분석"링크를 클릭하면 파일을 플래그 지정하는 이유 중 하나가 "TLS 콜백 함수 배열이 감지 되었기 때문"임을 알 수 있습니다. 사이트에 업로드 한 실행 파일에 해당 코드를 포함시키는 합법적 인 이유가있을 수 있지만 맬웨어 개발자는 TLS 콜백 코드를 사용하여 코드 디버깅 프로세스를 더 많이 만들어 안티 바이러스 연구원이 코드 분석을 방해 할 수 있습니다. 어려운. 예를 들어 TLS 콜백이있는 Detect 디버거 에서
:
TLS 콜백은 프로세스 진입 점이 실행되기 전에 호출되는 함수입니다. 디버거로 실행 파일을 실행하면 디버거가 중단되기 전에 TLS 콜백이 실행됩니다. 즉, 디버거가 무엇이든하기 전에 디버깅 방지 검사를 수행 할 수 있습니다. 따라서 TLS 콜백은 매우 강력한 안티 디버깅 기술입니다.
Wild의 TLS 콜백 에서는이 기술을 사용하는 맬웨어의 예에 대해 설명합니다.
Lenovo는 시스템과 함께 배포 된 소프트웨어와 관련하여 평판이 좋지 않습니다. 예를 들어, 2015 년 2 월 15 일 Ars Technica 기사 Lenovo PC에는 HTTPS 연결을 차단하는 MITM (Man-in-the-Middle) 애드웨어가 포함되어 있습니다 .
레노버는 암호화 된 웹 세션을 가로채는 애드웨어가 사전 설치된 컴퓨터를 판매하고 있으며 공격자들이 쉽게 수행 할 수있는 HTTPS 중간자 공격에 취약 할 수 있다고 보안 연구원들은 말했다.
Superfish라는 회사에서 애드웨어를 설치 한 Lenovo PC에는 치명적인 위협이 있습니다. 많은 사람들이 웹 페이지에 광고를 삽입하는 소프트웨어를 찾는 것처럼 불쾌한만큼 Superfish 패키지에는 훨씬 더 사악한 것이 있습니다. 사용자가 방문하는 모든 웹 사이트에 대해 암호화 된 트래픽을 가로 챌 수있는 자체 서명 된 루트 HTTPS 인증서를 설치합니다. 사용자가 HTTPS 사이트를 방문하면 Superfish가 사이트 인증서에 서명하고 제어하며 자신을 공식 웹 사이트 인증서로 잘못 표시합니다.
man-in-the-middle 공격을 사용하여 사이트 방문하여 달리했을 보호를 패배 HTTPS를 HTTP가 아닌 소프트웨어가 은행과 같은 모든 웹 트래픽에 사용자와 금융 기관 사이에도 트래픽을 스누핑 할 수 있도록.
연구원들이 Lenovo 컴퓨터에서 Superfish 소프트웨어를 발견했을 때, Lenovo는 처음에 "우리는이 기술을 철저히 조사했으며 보안 문제를 입증 할 증거를 찾지 못했습니다"라고 주장했습니다. 그러나 보안 연구원들이 Superfish 소프트웨어가 어떻게 Lenovo 시스템을 Malfactor에 의해 타협 할 수있게했는지 공개했을 때 회사는 그 진술을 철회해야했습니다.
이러한 혼란에 대응하기 위해 Lenovo의 최고 기술 책임자 (CTO) 인 Peter Hortensius는 다음과 같이 말했습니다. "오늘 내가 말할 수있는 것은 다음과 같은 다양한 옵션을 탐색하고 있다는 것입니다.보다 깨끗한 PC 이미지 (운영 체제 및 기기에있는 소프트웨어를 즉시 사용할 수 있습니다.) ""옵션이 삭제되었을 수 있습니다. 예를 들어, 2015 년 9 월 기사 Lenovo Caught Red-handed (3rd Time) : The Hacker News 의 보안 분석가 인 Swati Khandelwal이 Lenovo 랩탑에서 사전 설치 한 스파이웨어 를 참조하십시오. 당신의 시스템.
업데이트 :
TLS (Thread Local Storage) 콜백의 합법적 인 사용과 관련하여 Wikipedia Thread Local Storage에 TLS에 대한 토론이 있습니다.조. 프로그래머가 합법적으로 사용하는 빈도를 모르겠습니다. 본인의 능력에 대한 정당한 사용을 언급 한 사람은 한 명뿐입니다. 내가 찾은 다른 모든 참조는 맬웨어에 의한 사용법과 관련이 있습니다. 그러나 이는 단순히 프로그래머가 합법적 인 사용에 대해 쓰는 것보다 맬웨어 개발자의 사용이 쓰여질 가능성이 높기 때문일 수 있습니다. 나는 그 사용법만으로는 Lenovo가 소프트웨어의 기능을 숨기려고 노력하고 있다는 결론을 내릴 수 없다고 생각한다. 그러나 Superfish뿐만 아니라 "Lenovo 시스템 엔진"에 Windows WPBT (Windows Platform Binary Table)를 사용하는 Lenovo의 알려진 관행을 감안할 때
Lenovo는 Windows 도난 방지 기능을 사용하여 영구적 인 crapware를 설치했습니다 . 나는 다소 조심해야 할 이유가 있다고 생각하며 다른 회사보다 Lenovo에게 의심의 혜택 을 줄 가능성이 훨씬 적습니다 .
불행하게도, 고객 정보를 판매하거나 다른 "파트너"에게 고객에게 "액세스"를 제공하여 고객으로부터 더 많은 돈을 벌려고하는 많은 회사가 있습니다. 때로는 애드웨어를 통해 이루어 지기도합니다. 이는 반드시 회사가 해당 "파트너"에게 개인 식별 정보를 제공한다는 의미는 아닙니다. 때때로 회사는 고객의 행동에 대한 정보를 수집하여 개인을 식별하는 정보가 아니라 회사가 유치 할 가능성이있는 고객 유형에 대해 더 많은 정보를 마케팅 담당자에게 제공 할 수 있습니다.
파일을 VirusTotal에 업로드하고 파일에 악성 프로그램이 포함 된 것으로 플래그가 지정된 업로드 된 파일을 검사하는 데 사용하는 많은 바이러스 백신 프로그램 중 하나 또는 두 개만 찾으면 코드가 분명히 주변에 있었다면 거짓 양성 보고서 로 간주 합니다. 예를 들어 VirusTotal이 1 년 전에 파일을 이전에 스캔 한 것으로보고 한 경우에는 소프트웨어 개발자를 불신 할 이유가없고 반대로 오랜 명성으로 인해 개발자를 신뢰할 이유도 없습니다. 그러나 Lenovo는 이미 명성을 훼손했으며 업로드 한 파일을 표시하는 53 가지 바이러스 백신 프로그램 중 12 개가 약 23 %이므로 걱정할 정도로 높은 비율로 간주합니다.
대부분의 바이러스 백신 공급 업체는 일반적으로 파일이 특정 유형의 맬웨어로 플래그 지정되는 원인과 작동 측면에서 특정 맬웨어 설명이 의미하는 바에 대한 특정 정보를 거의 제공하지 않기 때문에 종종 정확히 무엇을 확인하기가 어렵습니다. 특정 설명을 볼 때 걱정할 필요가 있습니다. 이 경우 대부분의 사람들이 TLS 콜백을보고 파일을 단독으로 표시하는 것일 수도 있습니다. 즉, 12 명 모두가 같은 실수로 거짓 긍정 주장을 할 수 있습니다. 때로는 서로 다른 제품이 맬웨어 식별을 위해 동일한 서명을 공유하고 해당 서명이 합법적 인 프로그램에서 발생할 수도 있습니다.
VirusTotal의 두 프로그램이 PWS : Win32 / OnLineGames.gen! B 와 비슷한 이름으로보고 한 "W32 / OnlineGames.HI.gen! Eldorado"결과는
파일이 W32 / OnlineGames.HI.gen! Eldorado와 관련되어 있다는 결론에 이르게 한 이유와 W32 / OnlineGames.HI.gen! Eldorado와 어떤 관련이 있는지, 즉 어떤 레지스트리 키와 파일이 필요합니까? 특정 설명이 포함 된 소프트웨어의 작동 방식을 찾기 위해 소프트웨어가 게임 자격 증명을 훔친다는 결론을 내리지는 않습니다. 다른 증거가 없다면 그럴 것 같지 않습니다. 불행히도, 당신이 보게 될 많은 악성 코드 설명은 파일에 첨부 된 설명을 볼 때 얼마나 걱정 해야하는지 결정하는 데 거의 가치가없는 비슷한 일반적인 설명입니다. "W32"는 종종 일부 바이러스 백신 공급 업체에 의해 많은 이름의 시작 부분에 첨부됩니다. 그들이 "일반"에 대해 "OnlineGames"와 "gen"을 공유한다는 사실
소프트웨어를 제거해도 도움이되지 않고 시스템 리소스를 사용한다고 판단했기 때문에 온라인 게임을하는 경우에는 Lenovo 소프트웨어가 온라인 게임 자격 증명을 도난 당했을 가능성이 있지만 온라인 게임을 할 경우에 대비하여 암호를 재설정 할 수 있습니다. 또는 키 스트로크 로깅을 수행 중입니다. Lenovo는 시스템에 포함 된 소프트웨어에 대해 별다른 명성을 얻지 못했지만 그러한 방식으로 작동하는 소프트웨어를 배포 한 것으로보고 된 바는 없습니다. 또한 네트워크 연결의 주기적 손실은 PC 외부에서도 발생할 수 있습니다. 예를 들어 같은 위치에있는 다른 시스템에서도 주기적으로 연결이 끊기면 라우터에 문제가있을 가능성이 높습니다.