تزریق کد با Early Bird
محققان امنیتی از شرکت Cyberbit هنگام تحلیل نمونههای بدافزار، روش جدید تزریق کد با نام Early Bird را شناسایی کردند که حداقل در چند بدافزار پیچیده مورد استفاده قرار میگیرد و باعث میشود بدافزار توسط نرمافزارهای امنیتی قابل شناسایی نباشد.
محققان امنیتی از شرکت Cyberbit هنگام تحلیل نمونههای بدافزار، روش جدید تزریق کد با نام Early Bird را شناسایی کردند که حداقل در چند بدافزار پیچیده مورد استفاده قرار میگیرد و باعث میشود بدافزار توسط نرمافزارهای امنیتی قابل شناسایی نباشد. |
روش Early Bird بسیار راحت ولی در عین حال قدرتمند است و به مهاجمان اجازه میدهد تا کدهای مخرب را در پردازههای قانونی تزریق کنند. در نتیجه بدافزار توسط ماشینهای هوک ویندوز که در محصولات ضدبدافزاری مورد استفاده قرار میگیرد، قابل شناسایی نباشد. |
این روش مشابه روش AtomBombing است که مبتنی بر فراخوانی واسطهای برنامهنویسی که به راحتی تشخیص داده میشوند نبوده و به نحوی کد مخرب را در پردازههای قانونی تزریق میکند که توسط برنامههای امنیتی و ضدبدافزار قابل شناسایی نیست. در روش Early Bird از یک تابع به نام «فراخوانی رویهی ناهمگام» در ویندوز استفاده میشود. این تابع در ویندوز به برنامهها اجازه میدهد در مفاد یک نخ مشخص، بهطور ناهمگام کدهای خود را اجرا کنند.
|
در ادامه گام به گام توضیح داده شده که چگونه در این روش، پیش از اینکه نرمافزار امنیتی اسکن را آغاز کند، کدهای مخرب در پردازههای قانونی تزریق میشوند: |
• ابتدا یک پردازهی قانونی در ویندوز مانند svchost.exe که به حالت تعلیق در آمده، ایجاد میشود. |
• به این پردازه حافظه تخصیص داده شده و کد مخرب در این بخش از حافظه نوشته میشود. |
• در این پردازه و در داخل صف مربوط به نخ اصلی، یک فراخوانی رویهی ناهمگام (APC) قرار داده میشود. |
• به دلیل اینکه APC زمانی میتواند پردازه را اجرا کند که در وضعیت alertable باشد، تابع NtTestAlert را فراخوانی کرده و هسته را مجبور میکند تا با از سرگیری نخ اصلی، در اسرع وقت کد مخرب را اجرا کند.
|
محققان اعلام کردند این روش حداقل در ? بدافزار با نامهای TurnedUp، Carberp و DorkBot مورد استفاده قرار گرفته است. گفته میشود بدافزار اول توسط گروه نفوذی به نام APT33 توسعه داده شده و عوامل این گروه به کشور عزیزمان ایران نسبت داده شدهاند. محققان در ویدوئویی نحوهی کارکرد روش Early Bird را نشان دادهاند.
|