محققان امنیتی هشدار میدهند که در پشتی اسموکلودر درحالحاضر دارای روشهای ضدتحلیل پیچیدهای است که اجازه میدهد سازوکار تحلیل بدافزار قویتری داشتهباشد.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
محققان امنیتی هشدار میدهند که در پشتی اسموکلودر درحالحاضر دارای روشهای ضدتحلیل پیچیدهای است که اجازه میدهد سازوکار تحلیل بدافزار قویتری داشتهباشد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اسموکلودر که با عنوان Dofoil نیز شناختهمیشود در اواسط سال ۲۰۱۱ میلادی در انجمنهای وب تاریک منتشر شد. با بستهبندی ماژولار، بدافزار میتواند دستورالعملهای اجرایی ثانویه را دریافت کرده و یا ماژولهای کاربردی اضافی را بارگیری کند. اخیرا لودر در توزیع بدافزارهایی چون تروجان بانکی تریکبات و باجافزار GlobeImposter مورد استفاده قرار گرفتهاست.
محققان امنیتی توضیح میدهند که نصبکننده اسموکلودر، یک EnumTools برای شناسایی و فرار از ابزارهای تحلیل تولید کرده و از یک واسطهای برنامهنویسی برای شمارش خدمات در حال اجرای تحلیل استفاده میکند. این بدافزار دوازده فرایند تحلیل را از طریق یک روش مبتنیبر درهمسازی بررسی کرده و اگر یکی در حال اجرا باشد خود را متوقف میکند. بهعنوان بخشی از بررسی ضدماشین مجازی، نام و اطلاعات حجم دستگاه آلوده را نیز همراه با کلید فهرست نمایش میدهد.
محققان میگویند: «دو مسیر اصلی برای اجرای اسموکلودر وجود دارد، نصبکننده و لودر! مسیر نصبکننده قبل از تولید و تزریق به یک نمونه جدید از فرایند ویندوز اکسپلورر اجرا میشود. پس از تزریق، لودر اجرا شده و قابلیتهای اصلی این ماژول را به نمایش میگذارد. قبل از اینکه تزریق صورت بگیرد، اسموکلودر چندین بررسی برای تعیین اطلاعات مربوط به سامانهای که بر روی آن در حال اجرا است، انجام میدهد.
محققان امنیتی نشان میدهند که اسموکلودر فراخوانهای واسطهای برنامهنویسی VirtualProtect برای تغییر محافظت از ناحیه حافظه اختصاص داده شده استفاده میکند. در انتهای مسیر اجرای لودر، همچنین بدافزار بررسی میکند که آیا تزریق باید انجام شود و اگر هنوز تزریق انجام نشدهباشد، اجرا ادامه مییابد. مشاهده شدهاست که بدافزار برای اطمینان از اینکه لودر به اینترنت دسترسی دارد، بررسیهای شبکهای را نیز انجام میدهد (میتواند برای آن ترافیک جعلی تولید کند). محققان امنیتی همچنین متوجه شدهاند که برخلاف نسخههای قبلی، آخرین نوع اسموکلودر از یک الگوریتم متداول مبتنیبر XOR برای رمزگشایی رشتهها در نمونه استفادهمیکند. پیش از این، رشتهها رمزنگاری نمیشدند.
محققان نتیجه میگیرند: «درحالیکه توزیع اسموکلودر به گستردگی دیگر خانوادههای بدافزار نیست، اما در حال توسعه بوده و آنچه را که انجام میدهد، بسیار موثر است. طول عمر لودر نشان میدهد که توسعهدهندگان متعهد به پایداری و حفاظت از لودر خود در برابر آخرین روشهای تحلیل هستند. اگر به سال ۲۰۱۱ میلادی برگردیم، لودر دستخوش چنین تحولاتی شدهاست که به آن اجازه میدهد تا در سال ۲۰۱۷ میلادی سازوکار تحویل قوی بدافزار را ادامه دهد.»