Trong những ngày gần đây, Symantec phát hiện hầu hết các phần mềm độc hại đã không rời bỏ các máy ảo, từng được sử dụng như một giải pháp để tránh các hệ thống kiểm tra an ninh.

Nhiều phần mềm độc hại được sử dụng để tạo một lối thoát nhanh chóng trên máy ảo, một giải pháp được thiết kế để tránh các hệ thống kiểm tra an ninh. Nhưng những trường hợp như vậy không còn xảy ra nữa, theo nghiên cứu của Symantec.
Khi các công ty ngày càng gia tăng việc sử dụng hệ thống máy ảo trong hoạt động, phần lớn những người viết phần mềm độc hại đang cố gắng thực hiện phương pháp khác để tránh bị phát hiện. Điều này có nghĩa là nếu chỉ đơn giản chạy máy ảo sẽ không đủ để phòng chống phần mềm độc hại.
Symantec đã nghiên cứu 200.000 mẫu phần mềm độc hại được cung cấp bởi khách hàng kể từ năm 2012. Họ chạy các mẫu đó trên một máy ảo và một máy thật để xem mẫu nào sẽ ngừng hoạt động khi một máy ảo được phát hiện.
Chỉ 18% các phần mềm độc hại ngừng hoạt động khi một máy ảo được phát hiện, Candid Wueest, một nhà nghiên cứu an ninh, đã viết trong một bài đăng trên blog vào hôm thứ Ba.
"Những người viết phần mềm độc hại muốn xâm phạm càng nhiều hệ thống càng tốt, do đó nếu phần mềm độc hại không chạy được trên một máy ảo, điều đó sẽ giới hạn số lượng máy tính có thể bị xâm phạm," Wueest viết. "Vì vậy, sẽ không nên quá ngạc nhiên khi hầu hết các mẫu hôm nay sẽ hoạt động bình thường trên một máy ảo."
Phần mềm độc hại sử dụng một thủ thuật để tránh bị khởi động từ một máy ảo bởi phần mềm an ninh chỉ đơn giản là chờ đợi, theo báo cáo của Symantec.
Nếu một tập tin mới không có những hành động đáng ngờ từ năm đến mười phút đầu tiên, hệ thống sẽ có thể xác định đó là phần mềm vô hại. Những loại phần mềm độc hại khác sẽ chờ đợi một số lượng thao tác nhấn chuột trái nhất định trước khi tự giải mã và nạp chương trình, Wueest viết.
"Điều này có thể khiến một hệ thống tự động khó khăn hoặc không thể đi đến một kết luận chính xác về phần mềm độc hại trong một khoảng thời gian ngắn", theo báo cáo.
Người ta lo ngại rằng phần mềm độc hại sẽ làm theo cách của mình ngược trở lại đối với máy chủ lưu trữ các máy ảo. Đó là nhiệm vụ của phần mềm độc hại "Crisis", một file Java chạy trên Windows và Apple OS X, được phân tán thông qua tấn công mánh khóe xã hội.
Crisis cố gắng để lây lan sang các máy ảo được lưu trữ trên một máy chủ nội bộ, Symantec đã viết. Nó không khai thác một lỗ hổng nhưng lợi dụng hệ thống ảo hóa mà chỉ đơn giản được lưu trữ như một chuỗi các tập tin trên một máy thật. Một phương thức tấn công tương tự gọi là "Cloudburst" đã được phát hiện vào năm 2009.
Nhìn chung, sự thay đổi trong chiến thuật là tốt hơn cho các nhà nghiên cứu an ninh, vì hầu hết các phần mềm độc hại sẽ tiếp tục hoạt động và có thể bị phát hiện trên một máy ảo. Tuy nhiên, Symantec khuyên rằng đừng bỏ quá 18% số phần mềm độc hại còn lại, phần cứng vật lý thực sự nên được sử dụng để phân tích.
Đối với những người quan tâm đến máy ảo, Symantec khuyến cáo nên nâng cao an ninh cho máy chủ lưu trữ, cập nhật bản vá cho máy ảo và sử dụng các hệ thống phòng chống phần mềm độc hại.