دور زدن روش‌های تجزیه و تحلیل بدافزار توسط نسخه‌ی جدید تروجان EMOTET

پژوهش‌گران امنیتی شرکت تِرندمیکرو در گزارشی اذعان داشتند: «اخیراً نسخه‌ی جدیدی از تروجان بانکی EMOTET مشاهده شده است که ویژگی‌هایی دارد که به این بدافزار اجازه می‌دهند تا جعبه‌ی شنی و ابزارهای تجزیه و تحلیل‌‌ بدافزار را دور بزند.»

تروجان EMOTET که با نام Geodo نیز شناخته می‌شود، یک بدافزار است که به خانواده‌های Dridex و Cridex مربوط می‌شود. این بدافزار که به طور عمده برای سرقت اطلاعات محرمانه‌ی بانکی و سایر اطلاعات حساس به کار می‌رود، همچنین می‌تواند به عنوان یک ابزار بارگیری تروجان نیز مورد استفاده قرار بگیرد، و در حملات اخیر بار داده‌های مخرب مختلفی (اغلب انواع دیگر بدافزارها) را نصب کرده است.

 

 

در گزارشی که در اوایل ماه نوامبر منتشر شد، مایکروسافت نشان داد که بدافزار EMOTET به طور فزاینده‌ای کاربران تجاری را هدف قرار می‌دهد.

بنابه گفته‌ی تِرندمیکرو، نصب‌کننده‌ی EMOTET روش خود را به شکلی تغییر داده است که با  سوء‌استفاده از یک واسط برنامه‌نویسی ویندوز که «CreateTimerQueueTimer» نام دارد، قابل نصب باشد. 

شرکت امنیتی تِرندمیکرو توضیح می‌دهد: «تابع اصلی این واسط برنامه‌نویسی با ایجاد یک رویه‌ی زمان‌سنج باید بخشی از زنجیره‌ی فرآیند شود، اما این‌جا این تابع فراخوان واسط برنامه‌نویسی به بار داده‌ی واقعی تروجان EMOTET تبدیل می‌شود. به نظر می‌رسد که تروجان EMOTET با استفاده از این روش سعی دارد ناشناخته باقی بماند،‌چون روش‌های قبلی نصب این بدافزار بسیار شناخته شده بوده است.»

با این حال، تروجان EMOTET اولین خانواده‌ی بدافزاری نیست که از این واسط برنامه‌نویسی ویندوز سوء‌استفاده می‌کند، زیرا تروجان بانکی Hancitor نیز با استفاده از این واسط برنامه‌نویسی در نصب‌کننده‌ی خود که یک سند ماکرو‌یِ مخرب است، بدافزارهای PONY و VAWTRAK را نصب می‌کند.

پژوهش‌گران امنیتی می‌گویند: «این تروجان جدید همچنین از یک روش برای فرار از تحلیل توسط محصولات امنیتی استفاده می‌کند، در این روش این بدافزار به منظور دور زدن راه‌کارهای شناسایی، پویش‌گری که فعالیت‌های مخرب را بررسی می‌کند را درگیر می‌کند. این بدافزار می‌تواند با استفاده از واسط برنامه‌نویسی ویندوزِ گفته‌‌شده، این کار را هر یک ثانیه انجام دهد.»

در مرحله‌ی دوم این تروجان جدید می‌تواند بررسی کند که آیا در داخل یک محیط جعبه‌ی شنی اجرا می‌شود یا خیر، در صورتی‌که این‌طور بود فرآیند آن را متوقف می‌کند. این نصب‌کننده نام NetBIOS، نام کاربری، و وجود برخی پرونده‌های خاص در سامانه‌ی هدف را بررسی می‌کند تا مطمئن شود درون یک سامانه‌ی واقعی در حال اجرا است.

 

 

این بدافزار همچنین اگر دارای امتیاز مدیر سامانه نبود، خود را از طریق یک فرآیند دیگر اجرا می‌کند؛ در غیر این صورت، برای پایداری، یک سرویس که به صورت خودکار آغاز می‌شود را ایجاد می‌کند، نام آن‌را تغییر می‌دهد، اطلاعات سامانه را جمع‌آوری می‌کند، و این اطلاعات را از طریق یک درخواست POST به یک کارگزار دستور و کنترل ارسال می‌کند.

یک پژوهش‌گر امنیتی به نام Marcus Hutchins اشاره می‌کند: «تجزیه و تحلیل‌های اخیر زیرساخت کارگزار دستور و کنترل EMOTET نشان می‌دهند که این تهدید از آدرس‌های آی‌پی که در کد به صورت ثابت (هاردکد) مشخص شده‌اند را برای اتصال به کارگزار استفاده می‌کند. با این حال، این بدافزار همچنین وب‌گاه‌های آسیب‌دیده را به عنوان پروکسی‌هایی برای اتصالات دستور و کنترل مورد استفاده قرار می‌دهد.»

این پژوهش‌گر می‌گوید: «این روش به طور فزاینده‌ای محبوب شده است، زیرا یک لایه‌ی محافظتی اضافه می‌کند و باعث می‌شود که پژوهش‌گران امنیتی نتوانند به آسانی کارگزار دستور و کنترل واقعی را شناسایی کرده و آن‌را خاموش کنند. با توجه به این‌که کارگزارهای مورد استفاده در این حملات به مدت چندین سال به عنوان وب‌گاه‌های قانونی اجرا می‌شوند، این روش همچنین باعث می‌شود که شناسایی این کارگزارها به عنوان کارگزار مخرب مشکل باشد.»

شرکت امنیتی تِرندمیکرو گفت: «این نسخه‌ی جدید تروجان EMOTET از طریق رایانامه‌های فیشینگ که حاوی URL مخربی هستند که اسناد فعال‌شونده با ماکرو را در سامانه‌ی قربانی قرار می‌دهند، توزیع می‌شود.»

 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید