۷۰۶۳۸۴
۵۰۱۱
۵۰۱۱
پ

هکرها روش جدیدی برای تزریق کد ابداع کردند

زمانی که محققان یک موسسه تحقیقاتی، بررسی‌های دقیقی برروی نمونه‌های مختلف بدافزارها انجام می‌دادند، تکنیک جدیدی در تزریق کد (code injection) به نام Early bird کشف کردند که حداقل توسط سه بدافزار پیچیده مورد استفاده قرار گرفته و کمک کرده مهاجمین شناسایی نشوند.

خبرگزاری ایسنا: زمانی که محققان یک موسسه تحقیقاتی، بررسی‌های دقیقی برروی نمونه‌های مختلف بدافزارها انجام می‌دادند، تکنیک جدیدی در تزریق کد (code injection) به نام Early bird کشف کردند که حداقل توسط سه بدافزار پیچیده مورد استفاده قرار گرفته و کمک کرده مهاجمین شناسایی نشوند.

همانطور که از نامش مشخص است Early bird یک تکنیک ساده اما هنوز کارآمد است که به مهاجمان اجازه می‌دهد یک کد مخرب را به داخل یک پردازش صحیح (legitimate) تزریق کنند، قبل از اینکه بخش اصلی این پردازش آغاز شود. بنابراین توسط نرم‌افزارهای ضد بدافزار که از ابزارهای سیستم عامل ویندوز استفاده می‌کنند، شناسایی نمی‌شوند.

محققان می‌گویند که در این تکنیک تزریق کد در مراحل اولیه بارگذاری پردازش و قبل از اینکه بسیاری از نرم‌افزارهای امنیتی اقدامات لازم را اتخاذ کنند، کد مخرب تزریق می‌گردد. این مسئله به بدافزار اجازه می‌دهد بدون شناسایی شدن اعمال مخربش را انجام دهد.

تکنیک به کار رفته مشابه تکنیک تزریق کد معروف به بمب اتمی است که به توابع API ساده متکی نیست و به بدافزار اجازه می‌دهد کد را به روشی داخل پردازش تزریق کند که نرم افزارهای ضدبدافزار نتوانند تشخیص دهند.

این کد مخرب بر مبنای توابع APC ویندوز بنا شده که به برنامه‌ها اجازه می‌دهد به‌صورت غیر همزمان کدی را در داخل یک نخ (thread یا نخ بخشی از یک پردازش است) اجرا کنند.
روش تزریق کد مخرب در داخل یک پردازش صحیح و قانونی به طریقی که قبل از اسکن برنامه‌های ضدبدافزار اجرا گردد به صورت قدم به قدم به شرح زیر است:

ایجاد یک پردازش معلق از پردازش‌های صحیح ویندوز (مانند svchost.exe).

اخذ حافظه در آن پردازش (svchost.exe) و نوشتن کد مخرب در حافظه اخذ شده و قرار دادن تابع APC در صف مربوط به نخ اصلی پردازش.

بر اساس اطلاعات سایت پلیس فتا، ‌ به دلیل اینکه توابع APC تنها در حالت alertable می‌توانند پردازش را اجرا کنند، تابع NtTestAlert فراخوانی می‌گردد تا هسته (kernel ) را مجبور کند کد مخرب را همزمان با نخ اصلی پردازش، اجرا کند. براساس تحقیقات محققان، حداقل سه بدافزار که در لیست زیر به آنان اشاره شده از کد Early Bird استفاده می‌کنند؛ "TurnedUp" که به وسیله یک گروه هکری ایرانی توسعه یافته، نسخه‌های مختلف بدافزار بانکی "Carberp" و بدافزار "DorkBot".

بدافزار DorBot یک بات نت است که از طریق شبکه‌های اجتماعی، نرم‌افزارهای پیام‌رسان و ابزارهای آلوده انتقال اطلاعات، منتشر شده و به منظور سرقت اطلاعات کاربران برای بهره‌گیری از سرویس‌های آنلاین، سرویس‌های بانکی، شرکت در حملات DDOS، ارسال تبلیغات و انتقال بدافزار به سیستم قربانیان، مورد استفاده قرار می‌گیرد.

پ
برای دسترسی سریع به تازه‌ترین اخبار و تحلیل‌ رویدادهای ایران و جهان اپلیکیشن برترین ها را نصب کنید.

همراه با تضمین و گارانتی ضمانت کیفیت

پرداخت اقساطی و توسط متخصص مجرب

ايمپلنت با 15 سال گارانتی 10/5 ميليون تومان

>> ویزیت و مشاوره رایگان <<
ظرفیت و مدت محدود

محتوای حمایت شده

تبلیغات متنی

ارسال نظر

لطفا از نوشتن با حروف لاتین (فینگلیش) خودداری نمایید.

از ارسال دیدگاه های نامرتبط با متن خبر، تکرار نظر دیگران، توهین به سایر کاربران و ارسال متن های طولانی خودداری نمایید.

لطفا نظرات بدون بی احترامی، افترا و توهین به مسئولان، اقلیت ها، قومیت ها و ... باشد و به طور کلی مغایرتی با اصول اخلاقی و قوانین کشور نداشته باشد.

در غیر این صورت، «برترین ها» مطلب مورد نظر را رد یا بنا به تشخیص خود با ممیزی منتشر خواهد کرد.

بانک اطلاعات مشاغل تهران و کرج