پژوهشگران امنيت شرکت Dell Secure Works Counter Unit (CTU) گونهاي از بدافزار را به نام Stegoloader شناسايي نموده که جزيي از خانوادهي بدافزارهاي ناشناخته ميباشد. بدافزار Stegoloader از مخفي نگاري ديجيتالي براي جاسازي کدهاي مخرب در فايلهاي تصويري PNG که از سايتهاي قانوني قابل دانلود ميباشد، استفاده مينمايد.
مخفي نگاري روشي قديمي براي جاسازي دادههاي محرمانه در داخل فايلهاي معمولي و غير محرمانه ميباشد. توليدکنندگان جاسوس افزارها معتقدند که روش مذکور نسبتاً ساده ولي موثر در خنثي کردن کارکرد ابزارهاي مانند سيستمهاي IPS ميباشد. در سال گذشته محققان CTU با ابزار Black Hat ثابت کردند که دانلود کننده Lurk يکي از اولين خانواده بدافزارهايي بود که از مخفي سازي ديجيتالي به عنوان راهکار مقابله با شناسايي استفاده مينموده است. همچنين بر اساس گزارشات اين محققين در پايان سال 2014 نسخهاي از تروجان Gozi کشف شده است که از فناوري مذکور براي مخفي نمودن اطلاعات در سرورهاي کنترل کننده بدافزار استفاده ميکرده است.
هم اکنون با کشف Stegoloader اين نگراني به وجود آمده که آيا اين روش نشانهاي از گرايش مهاجمان به سمت مخفي نگاري ديجيتالي براي جلوگيري از شناسايي شدن ميباشد؟ زيرا نياز است که توليدکنندگان بدافزار، خودشان را با مکانيزمهاي شناسايي بهبود يافته وفق دهند.
البته استفاده از تکنيک مخفي نگاري تنها يکي از روش هاييست که توسط اين بدافزار براي جلوگيري از شناسايي بکارگرفته ميشود. بدافزار Stegoloader به صورت ماژولار طراحي شده است. در اين روش طراحي، امکان استفاده از ماژولهاي گوناگون براساس نياز مهاجم فراهم شده است که احتمال شناسايي بدافزار را در زمان تجزيه و تحليل دشوار ميسازد.
برخي از ماژولهاي استفاده شده شامل ماژول جمع آوري آدرسهاي IP شبکه محلي، ماژول استخراج تارنماهاي بازديد شده توسط مرورگر، ماژول سرقت رمز عبور و همچنين ماژول سرقت نتايج استخراج شده توسط نرم افزارهاي IDA (Interactive Disassembler) که براي تجزيه و تحليل بدافزارهاي تخريبي بر روي سيستم استفاده ميشود، ميباشد.
به علاوه ماژول اصلي بدافزارپيش از بکارگيري ديگر ماژولهاي امکان تشخيص محيط و شرايط کاربر معمولي از محيطهاي آزمايشي امنيتي را براي متوقف سازي فعاليت خود را دارد تا احتمال شناخته شدن خود را کم نمايد. به عنوان نمونهاي از نحوه رفتار ماژول اصلي ميتوان به بکارگيري ماژول مانيتور کننده حرکت مکان نماي موس کامپيوتر با فراخواني تابع GetCursorPos اشاره کرد. اگر موس در حال تغيير عادي وضعيت باشد بد افزار امکان فعاليت دارد و در وضعيت سکون بدون نمايش هيچگونه فعاليت تخريبي متوقف ميشود. به نظر ميرسد که بدافزار مذکور، نوعي سارق اطلاعات فرصت طلب ميباشد که هيچ ردپايي از سوء استفاده يا سرقت اطلاعات، از خود به جاي نميگذارد محققان ميگويند که اين بدافزار براي کاربردهاي عمومي ايجاد شده است تا بدافزاري هدفمند براي حملات از پيش برنامه ريزي شده.
منبع خبر :
