近日,安全公司Malw??areHunterTeam发现钓鱼仿冒网站使用JavaScript来检查访问是来自虚拟机还是“无头设备”(无显示),并阻止此类访问规避安全检测。因为网络安全公司经常使用无头设备或虚拟机来确定网站是否为钓鱼网站。为了逃避检测,网络钓鱼工具包使用JavaScript来检查浏览器是否在虚拟机下运行或没有连接监视器。如果有任何安全分析尝试的迹象,钓鱼网站将显示一个空白页面而不是钓鱼页面。由MalwareHunterTeam发现,该脚本检查访问者屏幕的宽度和高度,并使用WebGLAPI查询浏览器使用的渲染引擎。使用API获取浏览器渲染和屏幕信息。该脚本还检查访问者屏幕的颜色深度是否小于24位,或者屏幕的高度和宽度是否小于100像素。如果检测到上述任何一种情况,钓鱼页面将在浏览器的开发人员控制台中显示一条消息,并向访问者显示一个空白页面。但是,如果浏览器使用常规硬件渲染引擎和标准屏幕尺寸,脚本将显示钓鱼登录页面。该威胁行为者使用的代码似乎取自2019年的一篇文章,该文章描述了如何使用JavaScript检测虚拟机。网络安全公司Emsisoft的首席技术官FabianWosar指出,网络安全软件使用多种方法来扫描和检测钓鱼网站。其中包括签名匹配和使用机器学习的虚拟机。“上面的代码实际上可以用于其中的一些技术。但是,通过挂钩多个JavaScriptAPI并提供‘虚假’信息来防止这种情况也是微不足道的,”Wosar解释道。对于研究人员和安全公司来说,强化他们的虚拟机以避免被恶意软件检测是一种常见的做法,而且他们现在似乎必须采取同样的措施来对抗网络钓鱼攻击。参考:https://bannedit.github.io/Virtual-Machine-Detection-In-The-Browser.html【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信)id:gooann-sectv)获取授权】点此阅读该作者更多好文
