کشف بدافزار جديد با قابليت مخفي شدن داخل فايل‌هاي تصويري

پ‍ژوهشگران امنيت شرکت Dell Secure Works Counter Unit (CTU) گونه‌اي از بدافزار را به نام Stegoloader شناسايي نموده که جزيي از خانواده‌ي بدافزارهاي ناشناخته مي‌باشد. بدافزار Stegoloader از مخفي نگاري ديجيتالي براي جاسازي کدهاي مخرب در فايل‌هاي تصويري PNG که از سايت‌هاي قانوني قابل دانلود مي‌باشد، استفاده مي‌نمايد.

مخفي نگاري روشي قديمي براي جاسازي داده‌هاي محرمانه در داخل فايل‌هاي معمولي و غير محرمانه مي‌باشد. توليدکنندگان جاسوس افزارها معتقدند که روش مذکور نسبتاً ساده ولي موثر در خنثي کردن کارکرد ابزارهاي مانند سيستم‌هاي IPS مي‌باشد. در سال گذشته محققان CTU با ابزار Black Hat ثابت کردند که دانلود کننده Lurk يکي از اولين خانواده بدافزارهايي بود که از مخفي سازي ديجيتالي به عنوان راهکار مقابله با شناسايي استفاده مي‌نموده است. همچنين بر اساس گزارشات اين محققين در پايان سال 2014 نسخه‌اي از تروجان Gozi کشف شده است که از فناوري مذکور براي مخفي نمودن اطلاعات در سرورهاي کنترل کننده بدافزار استفاده مي‌کرده است.

هم اکنون با کشف Stegoloader اين نگراني به وجود آمده که آيا اين روش نشانه‌اي از گرايش مهاجمان به سمت مخفي نگاري ديجيتالي براي جلوگيري از شناسايي شدن مي‌باشد؟ زيرا نياز است که توليدکنندگان بدافزار، خودشان را با مکانيزم‌هاي شناسايي بهبود يافته وفق دهند.

البته استفاده از تکنيک مخفي نگاري تنها يکي از روش هاييست که توسط اين بدافزار براي جلوگيري از شناسايي بکارگرفته مي‌شود. بدافزار Stegoloader به صورت ماژولار طراحي شده است. در اين روش طراحي، امکان استفاده از ماژول‌هاي گوناگون براساس نياز مهاجم فراهم شده است که احتمال شناسايي بدافزار را در زمان تجزيه و تحليل دشوار مي‌سازد.

برخي از ماژول‌هاي استفاده شده شامل ماژول جمع آوري آدرس‌هاي IP شبکه محلي، ماژول استخراج تارنماهاي بازديد شده توسط مرورگر، ماژول سرقت رمز عبور و همچنين ماژول سرقت نتايج استخراج شده توسط نرم افزارهاي IDA (Interactive Disassembler) که براي تجزيه و تحليل بدافزارهاي تخريبي بر روي سيستم استفاده مي‌شود، مي‌باشد.

به علاوه ماژول اصلي بدافزارپيش از بکارگيري ديگر ماژول‌هاي امکان تشخيص محيط و شرايط کاربر معمولي از محيط‌هاي آزمايشي امنيتي را براي متوقف سازي فعاليت خود را دارد تا احتمال شناخته شدن خود را کم نمايد. به عنوان نمونه‌اي از نحوه رفتار ماژول اصلي مي‌توان به بکارگيري ماژول مانيتور کننده حرکت مکان نماي موس کامپيوتر با فراخواني تابع GetCursorPos اشاره کرد. اگر موس در حال تغيير عادي وضعيت باشد بد افزار امکان فعاليت دارد و در وضعيت سکون بدون نمايش هيچگونه فعاليت تخريبي متوقف مي‌شود. به نظر مي‌رسد که بدافزار مذکور، نوعي سارق اطلاعات فرصت طلب مي‌باشد که هيچ ردپايي از سوء استفاده يا سرقت اطلاعات، از خود به جاي نمي‌گذارد محققان مي‌گويند که اين بدافزار براي کاربردهاي عمومي ايجاد شده است تا بدافزاري هدفمند براي حملات از پيش برنامه ريزي شده.


منبع خبر :

تاريخ: سه‌شنبه 23 تير 1394  ساعت: 

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm