کمیته رکن چهارم – یک بدافزار جدید که در حملاتی کشورهای کرهی جنوبی و ژاپن را هدف قرار داده، برای جلوگیری از تشخیص به تولید دادههای ناخواسته اقدام میکند. محققان آزمایشگاه کسپرسکی اعلام کردند هرچند این روش برای جلوگیری از تشخیص جدید نیست ولی عملیات این گروه قابل توجه است.
به گزارش کمیته رکن چهارم،این شرکت امنیتی زمانی با این بدافزار مواجه شد که در حال بررسی حملات انجامشده توسط ابزار XXMM بود. نام این بدافزار srvhost.exe بود و اندازهای برابر با ۱۰۰ مگابایت داشت و تلاش میکرد از بروز سوءظن جلوگیری کند.
بررسیهای کسپرسکی نشان داد که این بدافزار یک تروجان بارگذاریکننده است که سعی دارد دربِ پشتی wali را فعال کند. ماژول دربِ پشتی توسط این بارگذاریکننده در پردازهی iexplore.exe تزریق میشود. در نمونههای بدافزار که مشاهده شده، اندازهی آن باتوجه به نوع بستهبندی از چند کیلوبایت تا چند مگابایت متغیر است. همچنین مشاهده شده مهاجمان سایبری بدافزار را در داخل پروندههای ISO و یا فیلم مخفی میکنند و این باعث میشود اندازهی پروندهی مخرب به چند گیگابایت هم برسد.
نکتهی جالب توجه در دربِ پشتی Wali این است که در قالب یک پروندهی ۱۰۰ مگابایتی بر روی سامانهی قربانی قرار نمیگیرد. بارگذاریکنندهی اولیه اندازهای برابر با ۱ مگابایت دارد ولی مؤلفههای نصبکننده در ادامه میتوانند به پروندهی اجرایی بدافزار، حجمی برابر با دهها مگابایت تا گیگابایت را اضافه کنند.
بهخاطر اینکه دادههای ناخواسته بهطور پویا توسط نصبکننده تولید میشود، اندازهی پروندهی بدافزار میتواند متفاوت باشد. کسپرسکی در حملات واقعی نمونههایی از بدافزار با اندازهی ۵۰ و ۱۰۰ مگابایت را مشاهده کرده است. محققان امنیتی میگویند در حملاتی، اندازهای برابر با ۲۰۰ مگابایت را نیز شاهد بودهاند.
محققان امنیتی معتقدند این دربِ پشتی یک تهدید قابل توجه است چرا که در حملات هدفمند مورد استفاده قرار گرفته است. کسپرسکی در توضیحات خود میگوید: «هرچند در نگاه اول، این روش برای جلوگیری از تشخیص ناکارآمد به نظر برسد ولی در بررسیهایی که با ابزار YARA برای پویش دیسک انجام شده، ترافیک این بدافزار تشخیص داده نشده است.»
محققان کسپرسکی افزودند: «یکی از دلایل این مسئله این است که در پویش دیسک با ابزار YARA یکی از نکات مهم برای افزایش کارایی این است که اندازهی پروندههایی که پویش میشوند، کم در نظر گرفته شود. پروندههای بزرگی مانند نمونهی بدافزار XXMM از دید این ابزار و قوانین آن مخفی خواهند ماند. بنابراین محققان امنیتی باید در زمان تنظیم قوانین برای ابزارهای امنیتی، به این موضوع نیز توجه داشته باشند.»
منبع:security week