کشف بدافزار جديد با قابليت مخفی شدن داخل فايل‌های تصويري

پ‍ژوهشگران امنيت شرکت Dell Secure Works Counter Unit (CTU) گونه‌ای از بدافزار را به نام Stegoloader شناسايی نموده که جزيی از خانواده‌ی بدافزارهای ناشناخته می‌باشد. بدافزار Stegoloader از مخفی نگاری ديجيتالی برای جاسازی کدهای مخرب در فايل‌های تصويری PNG که از سايت‌های قانونی قابل دانلود می‌باشد، استفاده می‌نمايد.

مخفی نگاری روشی قديمی برای جاسازی داده‌های محرمانه در داخل فايل‌های معمولی و غير محرمانه می‌باشد. توليدکنندگان جاسوس افزارها معتقدند که روش مذکور نسبتاً ساده ولی موثر در خنثی کردن کارکرد ابزارهای مانند سيستم‌های IPS می‌باشد. در سال گذشته محققان CTU با ابزار Black Hat ثابت کردند که دانلود کننده Lurk يکی از اولين خانواده بدافزارهايی بود که از مخفی سازی ديجيتالی به عنوان راهکار مقابله با شناسايی استفاده می‌نموده است. همچنين بر اساس گزارشات اين محققين در پايان سال 2014 نسخه‌ای از تروجان Gozi کشف شده است که از فناوری مذکور برای مخفی نمودن اطلاعات در سرورهای کنترل کننده بدافزار استفاده می‌کرده است.

هم اکنون با کشف Stegoloader اين نگرانی به وجود آمده که آيا اين روش نشانه‌ای از گرايش مهاجمان به سمت مخفی نگاری ديجيتالی برای جلوگيری از شناسايی شدن می‌باشد؟ زيرا نياز است که توليدکنندگان بدافزار، خودشان را با مکانيزم‌های شناسايی بهبود يافته وفق دهند.

البته استفاده از تکنيک مخفی نگاری تنها يکی از روش هاييست که توسط اين بدافزار برای جلوگيری از شناسايی بکارگرفته می‌شود. بدافزار Stegoloader به صورت ماژولار طراحی شده است. در اين روش طراحي، امکان استفاده از ماژول‌های گوناگون براساس نياز مهاجم فراهم شده است که احتمال شناسايی بدافزار را در زمان تجزيه و تحليل دشوار می‌سازد.

برخی از ماژول‌های استفاده شده شامل ماژول جمع آوری آدرس‌های IP شبکه محلي، ماژول استخراج تارنماهای بازديد شده توسط مرورگر، ماژول سرقت رمز عبور و همچنين ماژول سرقت نتايج استخراج شده توسط نرم افزارهای IDA (Interactive Disassembler) که برای تجزيه و تحليل بدافزارهای تخريبی بر روی سيستم استفاده می‌شود، می‌باشد.

به علاوه ماژول اصلی بدافزارپيش از بکارگيری ديگر ماژول‌های امکان تشخيص محيط و شرايط کاربر معمولی از محيط‌های آزمايشی امنيتی را برای متوقف سازی فعاليت خود را دارد تا احتمال شناخته شدن خود را کم نمايد. به عنوان نمونه‌ای از نحوه رفتار ماژول اصلی می‌توان به بکارگيری ماژول مانيتور کننده حرکت مکان نمای موس کامپيوتر با فراخوانی تابع GetCursorPos اشاره کرد. اگر موس در حال تغيير عادی وضعيت باشد بد افزار امکان فعاليت دارد و در وضعيت سکون بدون نمايش هيچگونه فعاليت تخريبی متوقف می‌شود. به نظر می‌رسد که بدافزار مذکور، نوعی سارق اطلاعات فرصت طلب می‌باشد که هيچ ردپايی از سوء استفاده يا سرقت اطلاعات، از خود به جای نمی‌گذارد محققان می‌گويند که اين بدافزار برای کاربردهای عمومی ايجاد شده است تا بدافزاری هدفمند برای حملات از پيش برنامه ريزی شده.


منبع خبر :

تاريخ: سه‌شنبه 23 تير 1394  ساعت: 10:49

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm