محققان امنیت سایبری از Trend Micro یک بدافزار کاملاً جدید را کشف کرده اند که از روشی غیرمعمول برای پنهان کردن برنامه های آنتی ویروس استفاده می کند.
این بدافزار UNAPIMON نامیده میشود و ظاهراً توسط Winnti، یک عامل تهدیدکننده با حمایت دولتی چینی که پشت برخی از مخربترین حملات علیه دولتها، فروشندگان سختافزار و نرمافزار، اتاقهای فکر و غیره بوده، استفاده میشود.
به گفته Trend Micro، بسیاری از انواع بدافزار از روشی به نام API hooking برای استراق سمع تماس ها، گرفتن داده های حساس و بهینه سازی نرم افزارهای مختلف استفاده می کنند. پس ، بسیاری از ابزارهای امنیتی نیز از API hooking برای ردیابی بدافزار استفاده می کنند.
سادگی و اصالت
"با UNAPIMON، همه چیز متفاوت است. از Microsoft Detours برای اتصال عملکرد CreateProcessW API استفاده می کند، که به آن اجازه می دهد تا توابع مهم API را در فرآیندهای فرزند باز کند. در نتیجه، با موفقیت از تشخیص آنتی ویروس فرار می کند.
Trend Micro در گزارش خود آورده است: یکی از ویژگی های منحصر به فرد و قابل توجه این بدافزار، سادگی و اصالت آن است. استفاده از فناوری های موجود مانند Microsoft Detours نشان می دهد که هر کتابخانه ساده و خارج از قفسه ای می تواند به طور مخرب مورد استفاده قرار گیرد. خلاقانه استفاده کرد این همچنین قدرت کدنویسی و خلاقیت نویسنده بدافزار را نشان میدهد."
"در سناریوهای معمولی، این بدافزار است که قلاب کردن را انجام می دهد. اما در این مورد برعکس است. "
محققان توضیح دادند که استفاده از Microsoft Detours در این زمینه مزایای دیگری نیز دارد. از آنجایی که این یک ابزار اشکال زدایی قانونی است، حتی از تشخیص رفتاری نیز طفره می رود.
BleepingComputer در نوشته خود، هکرهای Winnti را به عنوان «به دلیل روشهای بدیع برای فرار از شناسایی در هنگام انجام حملات شناخته شده است».
در سال 2020، این گروه در حال سوء استفاده از پردازنده های چاپ ویندوز برای مخفی کردن یک بدافزار و ماندگاری در شبکه هدف مشاهده شد. دو سال بعد، آنها یک چراغ Cobalt Strike را به بیش از صد قطعه شکستند و تنها زمانی که نیاز به استفاده از آن داشتند، آن را بازسازی کردند.
ارسال نظر