پژوهشگران Cyberbit می‌گویند
بهره‌گیری از روش تازه تزریق کد توسط LockPoS
کد مطلب: 13653
تاریخ انتشار : شنبه ۳۰ دی ۱۳۹۶ ساعت ۱۵:۰۰
 
بدافزار پایانه‌های فروشگاهی LockPoS برای آسیب رساندن به سامانه‌های قربانی از روش تازه‌ای برای تزریق کد استفاده می‌کند.
بهره‌گیری از روش تازه تزریق کد توسط  LockPoS
 
 
Share/Save/Bookmark
بدافزار پایانه‌های فروشگاهی LockPoS برای آسیب رساندن به سامانه‌های قربانی از روش تازه‌ای برای تزریق کد استفاده می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار LockPoS که جزییات آن نخستین‌بار در جولای ۲۰۱۷ میلادی منتشر شد، داده‌های کارت‌های اعتباری را از حافظه‌ رایانه‌هایی می‌رباید که به پویشگرهای کارت‌ اعتباری پایانه‌های فروشگاهی (PoS) متصل هستند. این بدافزار چنان طراحی شده‌است که حافظه‌ فرایندهای در حال اجرا را بخواند و داده‌های کارت اعتباری را گرد آورد و سپس این داده‌ها را به سرور واپایش و دستور خود بفرستد. تجزیه‌و‌تحلیل‌های پیشین نشان داده‌است که این بدافزار از یک نصب‌کننده برای تزریق خود در پردازه‌ explorer.exe استفاده می‌کند.

پس از اجرا، این نصب‌کننده یک پرونده‌ منبع را استخراج می‌کند و مولفه‌های مختلفی را برای بارگذاری پیلودی LockPoS پایانی تزریق می‌کند. اکنون این بدافزار از روش تزریقی استفاده می‌کند که گویا روشی تازه است و پیشتر توسط بدافزار پایانه‌های فروشگاهی به نام Flokibot به کار می‌رفت. بدافزار LockPoS توسط بات‌نت Flokibot توزیع شده و گویا عوامل هر دوی آنها یکی است.

شرکت Cyberbit می‌گوید که یکی از روش‌های تزریق که توسط بدافزار LockPoS استفاده می‌شود، شامل ایجاد یک بخش در هسته، فراخوانی یک تابع برای نگاشت نمایشی از این بخش به فرایند دیگر و سپس کپی کردن کد در این بخش و ایجاد یک تهدید برای اجرای کد نگاشت‌ شده‌است. دیده شده‌است که بدافزار LockPoS از سه روال اصلی به نام‌های NtCreateSection ،NtMapViewOfSection و NtCreateThreadEx برای تزریق کد به فرایند از راه دور استفاده می‌کند؛ هرسه این روال‌ها از سوی ntdll.dll صادر می‌شوند که یک کتابخانه‌ پیوند پویا در سیستم‌عامل ویندوز است.

این بدافزار به جای فراخوانی روال‌های گفته‌شده، ntdll.dll را از دیسک به فضای آدرس مجازی خود نگاشت می‌کند که به آن اجازه می‌دهد که رونوشت درستی از پرونده‌ کتابخانه پیوند پویا (DLL) برای خود نگه دارد. بدافزار LockPoS همچنین یک بافر را برای ذخیره‌سازی تعداد فراخوانی‌های سامانه تخصیص می‌دهد، کد ویرانگر را در بخش نگاشت‌شده مشترک کپی می‌کند، سپس یک تهدید راه دور را در explorer.exe ایجاد می‌کند تا کد ویرانگرش را اجرا کند.

این بدافزار می‌تواند با استفاده از این روش تزریق، راهکارهای حفاظتی را که توسط ضدبدافزارها در ntdll.dll اعمال می‌شود دور بزند و بخت خود را برای انجام حمله‌ای‌ پیروزمندانه افزایش دهد.
مرجع : کاشف