بدافزاری که برای جلوگیری از تشخیص، داده‌های ناخواسته تولید می‌کند

کمیته رکن چهارم – یک بدافزار جدید که در حملاتی کشورهای کره‌ی جنوبی و ژاپن را هدف قرار داده، برای جلوگیری از تشخیص به تولید داده‌های ناخواسته اقدام می‌کند. محققان آزمایشگاه کسپرسکی اعلام کردند هرچند این روش برای جلوگیری از تشخیص جدید نیست ولی عملیات این گروه قابل توجه است.

به گزارش کمیته رکن چهارم،این شرکت امنیتی زمانی با این بدافزار مواجه شد که در حال بررسی حملات انجام‌شده توسط ابزار XXMM بود. نام این بدافزار srvhost.exe بود و اندازه‌ای برابر با ۱۰۰ مگابایت داشت و تلاش می‌کرد از بروز سوءظن جلوگیری کند.

بررسی‌های کسپرسکی نشان داد که این بدافزار یک تروجان بارگذاری‌کننده است که سعی دارد دربِ پشتی wali را فعال کند. ماژول دربِ پشتی توسط این بارگذاری‌کننده در پردازه‌ی iexplore.exe تزریق می‌شود. در نمونه‌های بدافزار که مشاهده شده، اندازه‌ی آن باتوجه به نوع بسته‌بندی از چند کیلوبایت تا چند مگابایت متغیر است. همچنین مشاهده شده مهاجمان سایبری بدافزار را در داخل پرونده‌های ISO و یا فیلم مخفی می‌کنند و این باعث می‌شود اندازه‌ی پرونده‌ی مخرب به چند گیگابایت هم برسد.

نکته‌ی جالب توجه در دربِ پشتی Wali این است که در قالب یک پرونده‌ی ۱۰۰ مگابایتی بر روی سامانه‌ی قربانی قرار نمی‌گیرد. بارگذاری‌کننده‌ی اولیه اندازه‌ای برابر با ۱ مگابایت دارد ولی مؤلفه‌های نصب‌کننده در ادامه می‌توانند به پرونده‌ی اجرایی بدافزار، حجمی برابر با ده‌ها مگابایت تا گیگابایت را اضافه کنند.

به‌خاطر اینکه داده‌های ناخواسته به‌طور پویا توسط نصب‌کننده تولید می‌شود، اندازه‌ی پرونده‌ی بدافزار می‌تواند متفاوت باشد. کسپرسکی در حملات واقعی نمونه‌هایی از بدافزار با اندازه‌ی ۵۰ و ۱۰۰ مگابایت را مشاهده کرده است. محققان امنیتی می‌گویند در حملاتی، اندازه‌ای برابر با ۲۰۰ مگابایت را نیز شاهد بوده‌اند.

محققان امنیتی معتقدند این دربِ پشتی یک تهدید قابل توجه است چرا که در حملات هدفمند مورد استفاده قرار گرفته است. کسپرسکی در توضیحات خود می‌گوید: «هرچند در نگاه اول، این روش برای جلوگیری از تشخیص ناکارآمد به نظر برسد ولی در بررسی‌هایی که با ابزار YARA برای پویش دیسک انجام شده، ترافیک این بدافزار تشخیص داده نشده است.»

محققان کسپرسکی افزودند: «یکی از دلایل این مسئله این است که در پویش دیسک با ابزار YARA یکی از نکات مهم برای افزایش کارایی این است که اندازه‌ی پرونده‌هایی که پویش می‌شوند، کم در نظر گرفته شود. پرونده‌های بزرگی مانند نمونه‌ی بدافزار XXMM از دید این ابزار و قوانین آن مخفی خواهند ماند. بنابراین محققان امنیتی باید در زمان تنظیم قوانین برای ابزارهای امنیتی، به این موضوع نیز توجه داشته باشند.»

منبع:security week

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.