متن خبر

این بدافزار که قبلا ناشناخته بود، ترفندهای حیله‌آمیزی برای جلوگیری از آنتی ویروس دارد

این بدافزار که قبلا ناشناخته بود، ترفندهای حیله‌آمیزی برای جلوگیری از آنتی ویروس دارد

شناسهٔ خبر: 461933 -




کرم بدافزار
(اعتبار تصویر: Shutterstock)

محققان امنیت سایبری از Trend Micro یک بدافزار کاملاً جدید را کشف کرده اند که از روشی غیرمعمول برای پنهان کردن برنامه های آنتی ویروس استفاده می کند.

این بدافزار UNAPIMON نامیده می‌شود و ظاهراً توسط Winnti، یک عامل تهدیدکننده با حمایت دولتی چینی که پشت برخی از مخرب‌ترین حملات علیه دولت‌ها، فروشندگان سخت‌افزار و نرم‌افزار، اتاق‌های فکر و غیره بوده، استفاده می‌شود.

به گفته Trend Micro، بسیاری از انواع بدافزار از روشی به نام API hooking برای استراق سمع تماس ها، گرفتن داده های حساس و بهینه سازی نرم افزارهای مختلف استفاده می کنند. پس ، بسیاری از ابزارهای امنیتی نیز از API hooking برای ردیابی بدافزار استفاده می کنند.

سادگی و اصالت

"با UNAPIMON، همه چیز متفاوت است. از Microsoft Detours برای اتصال عملکرد CreateProcessW API استفاده می کند، که به آن اجازه می دهد تا توابع مهم API را در فرآیندهای فرزند باز کند. در نتیجه، با موفقیت از تشخیص آنتی ویروس فرار می کند.

Trend Micro در گزارش خود آورده است: یکی از ویژگی های منحصر به فرد و قابل توجه این بدافزار، سادگی و اصالت آن است. استفاده از فناوری های موجود مانند Microsoft Detours نشان می دهد که هر کتابخانه ساده و خارج از قفسه ای می تواند به طور مخرب مورد استفاده قرار گیرد. خلاقانه استفاده کرد این همچنین قدرت کدنویسی و خلاقیت نویسنده بدافزار را نشان می‌دهد."

"در سناریوهای معمولی، این بدافزار است که قلاب کردن را انجام می دهد. اما در این مورد برعکس است. "

محققان توضیح دادند که استفاده از Microsoft Detours در این زمینه مزایای دیگری نیز دارد. از آنجایی که این یک ابزار اشکال زدایی قانونی است، حتی از تشخیص رفتاری نیز طفره می رود.

BleepingComputer در نوشته خود، هکرهای Winnti را به عنوان «به دلیل روش‌های بدیع برای فرار از شناسایی در هنگام انجام حملات شناخته شده است».

در سال 2020، این گروه در حال سوء استفاده از پردازنده های چاپ ویندوز برای مخفی کردن یک بدافزار و ماندگاری در شبکه هدف مشاهده شد. دو سال بعد، آنها یک چراغ Cobalt Strike را به بیش از صد قطعه شکستند و تنها زمانی که نیاز به استفاده از آن داشتند، آن را بازسازی کردند.

بیشتر از TechRadar Pro

Sead یک روزنامه‌نگار آزاد کارکشته در سارایوو، بوسنی و هرزگوین است. او در مورد IT (ابر، اینترنت اشیا، 5G، VPN) و امنیت سایبری (باج افزار، نقض داده ها، قوانین و مقررات) می نویسد. او در طول بیش از یک دهه فعالیت حرفه ای خود برای رسانه های متعددی از جمله الجزیره بالکان نوشته است. او همچنین چندین ماژول در زمینه نوشتن محتوا برای Represent Communications برگزار کرده است.

خبرکاو

ارسال نظر




تبليغات ايهنا تبليغات ايهنا

تمامی حقوق مادی و معنوی این سایت متعلق به خبرکاو است و استفاده از مطالب با ذکر منبع بلامانع است