با ما به‌روز باشید!
info@nsec.ir
(+98)-313-3915336

تکنیک جدید تزریق کد Early Bird برای جلوگیری از تشخیص

خلاصه: محققان امنیتی یک تکنیک تزریق کد جدید به نام Early Bird را کشف کرده اند که توسط حداقل سه بدافزار پیچیده مختلف استفاده شده است و به مهاجمان برای جلوگیری از شناسایی کمک می کند. تکنیک تزریق کد Early Bird، کد مخرب را در همان مراحل اولیه مقداردهی Thread قبل از اینکه محصولات امنیتی دست به کار شوند، بارگذاری می کند.

 

محققان امنیتی یک تکنیک تزریق کد جدید به‌نام Early Bird را کشف کرده‌اند که توسط حداقل سه بدافزار پیچیده‌ی مختلف استفاده شده است و به مهاجمان برای جلوگیری از شناسایی کمک می‌کند.

این تکنیک به مهاجمان این امکان را می‌دهد که کد مخرب را به یک پروسه‌ی قانونی قبل از شروع Thread اصلی تزریق کند و بنابراین از تشخیص جلوگیری می‌کند.

تکنیک تزریق کد Early Bird، کد مخرب را در همان مراحل اولیه مقداردهی Thread قبل از اینکه محصولات امنیتی دست به کار شوند، بارگذاری می‌کند.

این تکنیک شبیه به تکنیک تزریق کد AtomBombing است که به بدافزارها این امکان را می‌دهد که کد را به پروسه‌ها به روشی که هیچ ابزار ضد بدافزاری نتواند تشخیص دهد، تزریق کند.

 در زیر توضیح گام‌به‌گام اینکه چطور یک مهاجم می‌تواند کد مخرب را به یک پروسه‌ی قانونی (قبل از اینکه برنامه‌ی ضدبدافزار شروع به اسکن کند) تزریق کند، آورده شده است.

  • یک پروسه‌ی معلق از یک پروسه‌ی قانونی ویندوز ایجاد کنید (به‌عنوان مثال svchost.exe)
  • حافظه را به آن پروسه اختصاص دهید و کد مخرب را در حافظه اختصاص داده شد بنویسید.
  • یک فراخوانی نامتقارن (Asynchronous procedure call) به thread اصلی پروسه (svchost.exe) را در صف بگذارید.
  • از آنجا که APC یک پروسه را تنها زمانی که در یک وضعیت alertable است می‌تواند اجرا کند، تابع NtTestAlert را فراخوانی کنید تا کرنل را مجبور به اجرای کد مخرب به محض ادامه یافتن thread اصلی، کند.

به‌گفته‌ی محققان حداقل سه بدافزار زیر از تزریق کد Early Bird استفاده می‌کنند:

  • درب‌پشتی TurnedUP (توسعه داده شده توسط گروه هکری ایرانی APT33)
  • یک نوع از بدافزار بانکی Carberp
  • بدافزار DorkBot

TurnedUp یک درب‌پشتی است که قادر به استخراج داده از سیستم هدف، ایجاد reverse shell، گرفتن اسکرین‌شات و جمع‌آوری اطلاعات می‌باشد.

DorBot یک بات‌نت است که از طریق لینک‌هایی در شبکه‌های اجتماعی و برنامه‌های پیام‌رسان توزیع می‌شود و برای دزدیدن مجوزهای کاربران برای سرویس‌های آنلاین، شامل سرویس‌های بانکی، شرکت در حملات منع سرویس توزیع شده (DDoS)، ارسال هرزنامه و دریافت بدافزارهای دیگر روی کامپیوترهای قربانی استفاده می‌شود.