card_earlybirdjca
فروردین ۲۸, ۱۳۹۷0

تکنیک جدید Early Bird به هکرها اجازه می دهد تا شناسایی نشوند

نوشته شده توسط :وحید علمی درفروردین ۲۸, ۱۳۹۷

تکنیک جدید تزریق کد Early Bird به هکرها اجازه می دهد شناسایی نشوند

محققان امنیتی در Cyberbit  حین انجام تجزیه و تحلیل عمیق از نمونه های مختلف نرم افزارهای مخرب، روش جدید تزریق کد را پیدا کردند، که نام آن “Early Bird” است که توسط حداقل سه نوع بدافزار پیشرفته مورد استفاده قرار گرفته است که به حمله کنندگان کمک می کند تا از شناسایی جلوگیری کنند.

همانطور که از اسم آن مشخص است، Early Bird  یک تکنیک ساده اما قدرتمند است که اجازه می دهد تا مهاجمان کد مخرب خود را قبل از اینکه پروسه اصلی آغاز گردد، با یک فرایند قانونی تزریق کنند.

محققان گفتند که تکنیک تزریق کد در Early Bird ، بارکد کدهای مخرب را در یک مرحله بسیار اولیه از ابتدای پروسه، قبل از اینکه بسیاری از محصولات امنیتی قلاب خود را قرار دهند – که اجازه می دهد تا بدافزار اقدامات مخرب خود را بدون شناسایی انجام دهد.

این تکنیک شبیه روش تزریق کد AtomBombing است که به تشخیص آسان API ها نمی پردازد و اجازه می دهد برنامه های بدافزاری کد را به فرآیندها تزریق کنند به طوری که هیچ ابزار ضد تروجان نتواند آن را شناسایی کند.

روش تزریق کد اولیه در Early Bird بر ویندوز ساخته شده است که اجازه می دهد برنامه های کاربردی به طور یکپارچه در زمینه یک موضوع خاص اجرا شوند.

در اینجا یک توضیح گام به گام از چگونگی حمله یک کد مخرب به یک فرآیند قانونی، قبل از شروع برنامه آنتی ملویر، را بررسی می کنیم :

  • یک فرآیند متوقف شده یک فرآیند مشروع ویندوز ایجاد کنید (به عنوان مثال، exe)
  • حافظه را در این فرایند (svchost.exe) اختصاص دهید و کد مخرب را در منطقه حافظه اختصاص داده شده بنویسید
  • صف کردن (APC) در موضوع اصلی آن فرآیند (svchost.exe)
  • از آنجایی که APC می تواند یک فرآیند را تنها زمانی که در یک وضعیت قابل تحمل است اجرا کند، به عملکرد NtTestAlert مراجعه کنید تا اجرای کد مخرب را به عنوان موضوع اصلی ادامه دهد

به گفته محققان، حداقل سه مورد بدافزار زیر ذکر شده با استفاده از تزریق اولیه پرنده در طبیعت یافت شد:

  • “TurnedUp” backdoor, developed by an Iranian hacking group (APT33)
  • A variant of “Carberp” banking malware
  • “DorkBot” malware

TurnedUp یک درپشتی است که قادر به فیلتر کردن داده ها از سیستم هدف، ایجاد پوسته معکوس، گرفتن عکس و همچنین جمع آوری اطلاعات سیستم می باشد و در ابتدا توسط FireEye در سپتامبر ۲۰۱۷ کشف شد.

DorBot در سال ۲۰۱۲، بدافزار بات نت است که از طریق لینک ها در رسانه های اجتماعی، برنامه های پیام رسانی فوری و یا رسانه های قابل جابجایی آلوده شده است و برای سرقت اعتبار کاربران برای خدمات آنلاین، از جمله خدمات بانکی، شرکت در حملات تکذیب سرویس توزیع شده (DDoS)، ارسال اسپم و ارائه نرم افزارهای مخرب دیگر به رایانه های قربانیان، کاربرد داشته است.

محققان همچنین یک ویدئو ارائه دادند که روش تزریق کد اولیه پرنده را در عمل نشان می دهد :

 

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

19 − چهار =

sama   طراحی شده توسط شرکت توان دید آتی
کپی رایت © 2016.