نفوذگران از روش جدید Early Bird برای فرار از تشخیص توسط ضدبدافزارها استفاده می‌کنند

نفوذگران از روش جدید Early Bird برای فرار از تشخیص توسط ضدبدافزارها استفاده می‌کنند

شنبه, ۲۵ فروردین, ۱۳۹۷ ساعت ۹:۳۸

 

محققان امنیتی از شرکت Cyberbit هنگام تحلیل نمونه های بدافزار، روش جدید تزریق کد با نام Early Bird را شناسایی کردند که حداقل در چند بدافزار پیچیده مورد استفاده قرار می گیرد و باعث می شود بدافزار توسط نرم افزارهای امنیتی قابل شناسایی نباشد.


روش Early Bird بسیار راحت ولی در عین حال قدرتمند است و به مهاجمان اجازه می دهد تا کدهای مخرب را در پردازه های قانونی تزریق کنند. در نتیجه بدافزار توسط ماشین‌های هوک ویندوز که در محصولات ضدبدافزاری مورد استفاده قرار می‌گیرد، قابل شناسایی نباشد.


این روش مشابه روش AtomBombing است که مبتنی بر فراخوانی واسط‌های برنامه‌نویسی که به راحتی تشخیص داده می‌شوند نبوده و به نحوی کد مخرب را در پردازه‌های قانونی تزریق می‌کند که توسط برنامه‌های امنیتی و ضدبدافزار قابل شناسایی نیست. در روش Early Bird از یک تابع به نام «فراخوانی رویه‌ی ناهمگام» در ویندوز استفاده می‌شود. این تابع در ویندوز به برنامه‌ها اجازه می‌دهد در مفاد یک نخ مشخص، به‌طور ناهمگام کدهای خود را اجرا کنند.


در ادامه گام به گام توضیح داده شده که چگونه در این روش، پیش از اینکه نرم‌افزار امنیتی اسکن را آغاز کند، کدهای مخرب در پردازه‌های قانونی تزریق می‌شوند:
•    ابتدا یک پردازه‌ی قانونی در ویندوز مانند svchost.exe که به حالت تعلیق در آمده، ایجاد می‌شود.
•    به این پردازه حافظه تخصیص داده شده و کد مخرب در این بخش از حافظه نوشته می‌شود.
•    در این پردازه و در داخل صف مربوط به نخ اصلی، یک فراخوانی رویه‌ی ناهمگام (APC) قرار داده می‌شود.
•    به دلیل اینکه APC زمانی می‌تواند پردازه را اجرا کند که در وضعیت alertable باشد، تابع NtTestAlert را فراخوانی کرده و هسته را مجبور می‌کند تا با از سرگیری نخ اصلی، در اسرع وقت کد مخرب را اجرا کند.


محققان اعلام کردند این روش حداقل در ۳ بدافزار با نام‌های TurnedUp، Carberp و DorkBot مورد استفاده قرار گرفته است. گفته می‌شود بدافزار اول توسط گروه نفوذی به نام APT33 توسعه داده شده و عوامل این گروه به کشور عزیزمان ایران نسبت داده شده‌اند. محققان در ویدوئویی نحوه‌ی کارکرد روش Early Bird را نشان داده‌اند.
 

منبع


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

سیزده − 1 =