کمیته رکن چهارم – بدافزارها روزبهروز بیشتر از پرسوجوهای ابزار مدیریت ویندوز (WMI) برای فرار از تشخیص و همچنین برای تشخیص محیطی استفاده میکنند که درحال اجرا بر روی آن هستند.
به گزارش کمیته رکن چهارم،بهرهبرداری از WMI برای فرار از تشخیص قبلاً نیز مشاهده شدهاست و Mandiant نیز سال گذشته کشف کرد که گروههای تهدیدات مداوم پیشرفته (APT) از WMI و PowerShell برای حرکت جانبی، برداشت اعتبار و جستوجوی اطلاعات مفید در محیط ویندوز استفاده میکنند و اینک FireEye مثالهای ویژهای را ارائه کرده که پرسوجوهای WMI برای مقاصد نابهکار مورد استفاده قرار میگیرد.
از آنجایی که WMI تعامل سطح بالایی را با اشیای ویندوز از طریق C/C++ ،VBScript ،Jscript و C# ایجاد میکند، سرویسهای WMI توسط نویسندگان بدافزار برای فرار از تشخیص و تشخیص محیط مجازی مورد بهرهبرداری قرار میگیرد. در واقع FireEye توضیح میدهد پرسوجوی WMI میتواند برنامههای ضدویروس را تشخیص دهد بخاطر اینکه آنها در کلاس AntiVirusProduct تحت فضای نام root\SecurityCenter2 ثبت شدهاند.
برخی از بدافزارها در وهله اول نوع سامانه عامل را بررسی میکنند و اگر سامانه عامل ویندوز ویستا یا نسخههای قبلی باشد بهدنبال برنامه ضدویروس خواهد گشت. بهمحض اینکه بدافزار نوع سامانه عامل و ضدویروس را تشخیص داد، اطلاعات و سایر دادههای کاربر را برای کارگزار خود ارسال میکند تا بار داده مناسب را دریافت کرده و یا از تشخیص بگریزد.
به گفته FireEye، برخی بدافزارها سامانه را با تکنیکهای مختلف و پرسوجوهای WMI، برای چند محصول امنیتی و برنامههای معروف مجازیسازی بررسی میکند. بدافزار اطلاعات BIOS را در کلاس Win۳۲_BIOS و تحت فضای نام root\cimv۲ بررسی میکند. FireEye میگوید: «هر فیلد/ستون شبیه به پرسوجوهای SQL قابل بازیابی است.»
محققان امنیتی همچنین برخی نمونهها را پیدا کردند که از کلاس Win۳۲_ComputerSystem برای تشخیص محیط مجازی استفاده میکند که درنتیجه مدل آن برنامه مجازیسازی را برمیگرداند و اطلاعاتی مانند ماشین مجازی Vmware، VirtualBox و Virtual Machine را ارائه میکند. اگر رشته انطباقی پیدا شود، مجازیسازی تشخیص داده میشود.
برخی دیگر از بدافزارها در کنار نام فرایندهای VMware ،Wireshark ،Fiddler و سایر محصولات امنیتی، قبل از پرسوجوهای WMI، از کلاسهای Win۳۲_VideoController و Win۳۲_DiskDrive برای تشخیص استفاده میکنند. زمانی که پرسوجوی WMI در PowerShell اجرا شود مقدار زیادی از اطلاعات مربوط به Vmware را نشان میدهد.
خانواده بدافزاری دیگری مشاهده شده که از کلاس Win۳۲_DiskDrive، برای تشخیص VirtualBox ،Virtual Hard دیسک و VMware استفاده میکند. محققان امنیتی اشاره کردند: «هر زمان که یکی از این ماشینهای مجازی تشخیص داده شود، این فرایند خاتمه مییابد و از تحلیل رفتاری بدافزار جلوگیری به عمل میآید.»
همچنین مشاهده شده که بدافزار تنها بهدنبال بررسی فرایندی خاص در کلاس Win۳۲_Process نبوده و بلکه آن فرایند را میکُشد. یک برنامه کاربردی که توسط کد مخرب هدف قرار گرفتهاست، اشکالیاب شناختهشده Immunity است که بنا به گفته FireEye «خاتمه یافته و پس از تغییر مجوزها با استفاده از شِل میزبان اسکریپت ویندوز ، پوشههای آن حذف شدهاست.»
همچنین برخی بدافزارها قصد جستوجو و خاتمه دادن به فرایندهای ضدویروس شرکت Kingsoft را دارند. برای پیدا کردن یک فرایند، یک بدافزار معمولا از واسطهای برنامهنویسی CreateToolHelp۳۲Snapshot ،Process۳۲First و Process۳۲Next استفاده میکند، اما نویسندگان بدافزار تصمیم به استفاده از پرسوجوهای WMI گرفتند که امکان جابهجایی با دهها خط کد را میدهد.
دیده شده که یک تولیدکننده کلید مایکروسافت آفیس، سرویس حفاظت از نرمافزار آفیس ویندوز را با استفاده از پرسوجوهای WMI بررسی میکند. اگر این سرویس در حال اجرا نباشد، بدافزار آن را شروع کرده و به شیء سرویس حفاظت از نرمافزار آفیس ویندوز دسترسی یافته و سپس کلید محصول آفیس را نصب خواهد کرد.
FireEye میگوید: «نویسندگان بدافزار همواره بهدنبال روشی برای گریز از چارچوبهای تحلیلی و سندباکس هستند تا اجرای بار داده را با موفقیت در محیط و بستر هدف انجام دهند. WMI روش سادهای را برای تشخیص محیط ارائه میکند که میتواند برای گریز از محیطهای تحلیل پویا و سندباکس مورد استفاده قرار گیرد که به نظر میرسد این روش ساده در مهندسی معکوس و سایر انجمنهای امنیتی دست ِکم گرفته شدهاست. باید گامهای کاهشی برای نظارت بر پرسوجوهای WMI، کاربردی برای فرار از تشخیص، اتخاذ شود.»
مرجع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
