دربِ پشتی اِسموک‌لودِر به ویژگی ضدتحلیل ارتقاء یافته است

کمیته رکن چهارم – محققان امنیتی هشدار می‌دهند که دربِ پشتی اِسموک‌لودِر۱ در حال حاضر دارای روش‌های ضدتحلیل پیچیده‌ای است که اجازه می‌دهد سازوکار تحویل بدافزار قوی‌تری داشته باشد. اِسموک‌لودِر که با عنوان Dofoil نیز شناخته می‌شود، در اواسط سال ۲۰۱۱ میلادی در انجمن‌های وب تاریک منتشر شد. با بسته‌بندی ماژولار، بدافزار می‌تواند دستور‌العمل‌های اجرایی ثانویه را دریافت کرده و/یا ماژول‌های کاربردی اضافی را بارگیری نماید. اخیرا، لودِر در توزیع بدافزارهایی چون تروجان بانکی تریک‌بات و باج‌افزار GlobeImposter مورد استفاده قرار گرفته است. 

محققان امنیتی توضیح می‌دهند که نصب‌کننده‌ی اِسموک‌لودِر، یک EnumTools برای شناسایی و فرار از ابزارهای تحلیل تولید کرده و از یک واسط‌های برنامه‌نویسی برای شمارش خدمات در حال اجرای تحلیل استفاده می‌کند. این بدافزار دوازده فرایند تحلیل را از طریق یک روش مبتنی بر درهم‌سازی بررسی کرده و اگر یکی در حال اجرا باشد، خود را متوقف می‌کند. به‌عنوان بخشی از بررسی ضد-ماشین مجازی، نام و اطلاعات حجم دستگاه آلوده را نیز همراه با کلید فهرست نمایش می‌دهد.

محققان می‌گویند: «دو مسیر اصلی برای اجرای اِسموک‌لودِر وجود دارد، نصب‌کننده و لودِر! مسیر نصب‌کننده قبل از تولید و تزریق به یک نمونه‌ی جدید از فرآیند ویندوز اِکسپلورر اجرا می‌شود. پس از تزریق، لودِر اجرا شده و قابلیت‌های اصلی این ماژول را به نمایش می‌گذارد. قبل از اینکه تزریق صورت بگیرد، اِسموک‌لودِر چندین بررسی برای تعیین اطلاعات مربوط به سامانه‌ای که بر روی آن در حال اجرا است، انجام می‌دهد.

محققان امنیتی نشان می‌دهند که اِسموک‌لودِر فراخوان‌های واسط‌های برنامه‌نویسی VirtualProtect برای تغییر محافظت از ناحیه‌ی حافظه اختصاص داده شده استفاده می‌کند. در انتهای مسیر اجرای لودِر، همچنین بدافزار بررسی می‌کند که آیا تزریق باید انجام شود و اگر هنوز تزریق انجام نشده باشد، اجرا ادامه می‌یابد. مشاهده شده است که بدافزار برای اطمینان از اینکه لودِر به اینترنت دسترسی دارد، بررسی‌های شبکه‌ای را نیز انجام می‌دهد (می‌تواند برای آن ترافیک جعلی تولید کند). محققان امنیتی همچنین متوجه شده‌اند که بر خلاف نسخه‌های قبلی، آخرین نوع اِسموک‌لودِر از یک الگوریتم متداول مبتنی بر XOR برای رمزگشایی رشته‌ها در نمونه استفاده می‌کند. پیش از این، رشته‌ها رمزنگاری نمی‌شدند.

محققان نتیجه می‌گیرند: «درحالی‌که توزیع اِسموک‌لودِر به گستردگی دیگر خانواده‌های بدافزار نیست، اما در حال توسعه بوده و آنچه را که انجام می‌دهد، بسیار موثر است. طول عمر لودِر نشان می‌دهد که توسعه‌دهندگان متعهد به پایداری و حفاظت از لودِر خود در برابر آخرین روش‌های تحلیل هستند. اگر به سال ۲۰۱۱ میلادی برگردیم، لودِر دستخوش چنین تحولاتی شده است که به آن اجازه می‌دهد تا در سال ۲۰۱۷ میلادی سازوکار تحویل قوی بدافزار را ادامه دهد.»

منبع : asis