خلاصه: محققان امنیتی FireEye اخیرا متوجه فعالیتهای مداومی شدهاند که از اکسپلویت RIG برای توزیع تروجان Grobios استفاده میکنند. محققان بدافزار گفتهاند که تروجان Grobios از چندین تکنیک جلوگیری از شناسایی، و مکانیزمهای مختلف ثبات استفاده میکند، این مکانیزمها برای سختتر شدن لغو نصب تهدید استفاده میشود.
محققان امنیتی FireEye اخیرا متوجه فعالیتهای مداومی شدهاند که از اکسپلویت RIG برای توزیع تروجان Grobios استفاده میکنند.
اکسپلویت RIG اخیرا درگیر توزیع تروجان Grobios شده است. در تصویر زیر میتوانید زنجیرهی آلودگی را مشاهده کنید.
محققان بدافزار گفتهاند که تروجان Grobios از چندین تکنیک جلوگیری از شناسایی، و مکانیزمهای مختلف ثبات استفاده میکند، این مکانیزمها برای سختتر شدن لغو نصب تهدید استفاده میشود. بدافزار تکنیکهای زیر را برای رسیدن به ثبات پیادهسازی میکند.
- یک کپی از خود را در فولدر %APPDATA% قرار میدهد. و ظاهر یک نسخه از یک برنامهی قانونی نصب شده روی سیستم هدف را به خود میگیرد.
- چندین کپی از خود را در زیرفولدرهای یک برنامه در مسیر %ProgramFiles%/%PROGRAMFILES(X86)% رها میکند، ظاهر یک نسخهی متفاوت از برنامهی نصب شده را به خود میگیرد، و کلید رجیستری Autorun را تنظیم میکند.
- یک کپی از خود را در فولدر %Temp% رها میکند، و یک تسک برنامهریزی شده برای جرای آن ایجاد میکند.
این بدافزار از چندین تکنیک anti-VM، anti-analysis و anti-debugging برای جلوگیری از شناسایی استفاده میکند.
زمانی که بررسیهای بدافزار برای وجود VM و محیط تحلیل بدافزار انجام شد، تروجان Grobios به برای دریافت دستورات به سرور کنترل و فرمان متصل میشود.
هنگامی که سیستم آلوده شده، بدافزار دو تسک برنامهریزی شده ایجاد میکند. محققان تاکید میکنند که بدافزار از کپی خود در فولدر %TEMP% با EFS (windos Encrypted File System) محافظت میکند.تحیل کد این تروجان دو سرور کنترل و فرمان مبهمسازی شده را نشان میدهد.
