گزارش BatCloak برای تولید بدافزارهای غیرقابل شناسایی
گزارش BatCloak برای تولید بدافزارهای غیرقابل شناسایی
گزارش BatCloak برای تولید بدافزارهای غیرقابل شناسایی |
محققان یک موتور مبهم بدافزار کاملا غیرقابل شناسایی (FUD) به نام BatCloak را که توسط عوامل تهدید استفاده میشود را گزارش کردهاند. محققان Trend Micro، که موتور مبهمسازی بدافزار کاملا غیرقابل شناسایی (FUD) با نام BatCloak مورد تجزیهوتحلیل قرار دادهاند که توسط عوامل تهدید برای ارائه مخفیانه بدافزارهایشان از سپتامبر ٢٠٢٢ استفاده میشود. نمونههای تجزیهوتحلیل شده توسط متخصصان توانایی قابل توجهی در دور زدن مداوم راهحلهای ضد بدافزار را نشان دادند. محققان دریافتند که ٨٠ درصد از نمونههای بازیابی شده از راهحلهای امنیتی امکان تشخیص صفر را داشتند. میانگین نرخ تشخیص برای مجموعه نمونه کلی ٧٨٤ مورد استفاده توسط کارشناسان کمتر از یک بود. |
موتور BatCloak تشکیل دهنده اصلی ابزار ساخت فایل دستهای آماده به نام Jlaive است که قابلیت هایی مانند عبور از رابط اسکن ضدبرنامهمخرب (AMSI) را داراست و همچنین توانایی فشردهسازی و رمزگذاری بار مفید اصلی را دارد تا از لحاظ امنیتی از حملات خودداری کند. |
پس از اینکه مخزن حاوی ابزار متن باز در سپتامبر ٢٠٢٢ حذف شد، از آن زمان توسط سایر عوامل تهدید اصلاح شده است. محققان نسخههای اصلاح شده و کلونهای Jlaive را بهعنوان یک سرویس یکبار مصرف برای خرید بهجای یک مدل کلاسیک مبتنی بر حق اشتراک، ارائه کردند. |
بارگذاری نهایی با استفاده از سه لایه بارگذاری انجام میشود ، یک بارگذاری C#، یک بارگذاری PowerShell و یک بارگذاری دستهای که آخرین آن به عنوان نقطه شروعی عمل میکند برای رمزگشایی و باز کردن هر مرحله و در نهایت انفجار برنامه ضدتشخیص شده است. درباره این موضوع پژوهشگران پیتر گیرنوس و علیاکبر زهراوی میگویند: بارگذار دستهای حاوی یک بارگذاری PowerShell مبهم و یک باینری C# رمزگذاری شده است. در پایان، Jlaive از BatCloak به عنوان یک موتور ناشناسی فایل استفاده میکند تا بارگذاری دستهای را ناشناس کرده و آن را در یک دیسک ذخیره کند. |
گفته میشود که BatCloak از زمان ظهور در محیط های تهاجمی، به تعداد زیادی بهروزرسانی و تغییر پیدا کرده است، و جدیدترین نسخه آن ScrubCrypt است که برای اولین بار توسط Fortinet FortiGuard Labs در ارتباط با یک عملیات کریپتوجکینگ که توسط گروه 8220 انجام میشود، برجسته شد. |
علاوه بر این، ScrubCrypt برای هماهنگی با انواع مختلف خانوادههای مخرب معروفی مانند Amadey، AsyncRAT، DarkCrystal RAT، Pure Miner، Quasar RAT، RedLine Stealer، Remcos RAT، SmokeLoader، VenomRAT و Warzone RAT طراحی شده است. |
مرجع:سایت مرکز ماهر |
نظر دهید