بدافزار پایانههای فروشگاهی LockPoS برای آسیب رساندن به سامانههای قربانی از روش تازهای برای تزریق کد استفاده میکند.
۰
پژوهشگران Cyberbit میگویند
بهرهگیری از روش تازه تزریق کد توسط LockPoS
منبع : کاشف
بدافزار پایانههای فروشگاهی LockPoS برای آسیب رساندن به سامانههای قربانی از روش تازهای برای تزریق کد استفاده میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار LockPoS که جزییات آن نخستینبار در جولای ۲۰۱۷ میلادی منتشر شد، دادههای کارتهای اعتباری را از حافظه رایانههایی میرباید که به پویشگرهای کارت اعتباری پایانههای فروشگاهی (PoS) متصل هستند. این بدافزار چنان طراحی شدهاست که حافظه فرایندهای در حال اجرا را بخواند و دادههای کارت اعتباری را گرد آورد و سپس این دادهها را به سرور واپایش و دستور خود بفرستد. تجزیهوتحلیلهای پیشین نشان دادهاست که این بدافزار از یک نصبکننده برای تزریق خود در پردازه explorer.exe استفاده میکند.
پس از اجرا، این نصبکننده یک پرونده منبع را استخراج میکند و مولفههای مختلفی را برای بارگذاری پیلودی LockPoS پایانی تزریق میکند. اکنون این بدافزار از روش تزریقی استفاده میکند که گویا روشی تازه است و پیشتر توسط بدافزار پایانههای فروشگاهی به نام Flokibot به کار میرفت. بدافزار LockPoS توسط باتنت Flokibot توزیع شده و گویا عوامل هر دوی آنها یکی است.
شرکت Cyberbit میگوید که یکی از روشهای تزریق که توسط بدافزار LockPoS استفاده میشود، شامل ایجاد یک بخش در هسته، فراخوانی یک تابع برای نگاشت نمایشی از این بخش به فرایند دیگر و سپس کپی کردن کد در این بخش و ایجاد یک تهدید برای اجرای کد نگاشت شدهاست. دیده شدهاست که بدافزار LockPoS از سه روال اصلی به نامهای NtCreateSection ،NtMapViewOfSection و NtCreateThreadEx برای تزریق کد به فرایند از راه دور استفاده میکند؛ هرسه این روالها از سوی ntdll.dll صادر میشوند که یک کتابخانه پیوند پویا در سیستمعامل ویندوز است.
این بدافزار به جای فراخوانی روالهای گفتهشده، ntdll.dll را از دیسک به فضای آدرس مجازی خود نگاشت میکند که به آن اجازه میدهد که رونوشت درستی از پرونده کتابخانه پیوند پویا (DLL) برای خود نگه دارد. بدافزار LockPoS همچنین یک بافر را برای ذخیرهسازی تعداد فراخوانیهای سامانه تخصیص میدهد، کد ویرانگر را در بخش نگاشتشده مشترک کپی میکند، سپس یک تهدید راه دور را در explorer.exe ایجاد میکند تا کد ویرانگرش را اجرا کند.
این بدافزار میتواند با استفاده از این روش تزریق، راهکارهای حفاظتی را که توسط ضدبدافزارها در ntdll.dll اعمال میشود دور بزند و بخت خود را برای انجام حملهای پیروزمندانه افزایش دهد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار LockPoS که جزییات آن نخستینبار در جولای ۲۰۱۷ میلادی منتشر شد، دادههای کارتهای اعتباری را از حافظه رایانههایی میرباید که به پویشگرهای کارت اعتباری پایانههای فروشگاهی (PoS) متصل هستند. این بدافزار چنان طراحی شدهاست که حافظه فرایندهای در حال اجرا را بخواند و دادههای کارت اعتباری را گرد آورد و سپس این دادهها را به سرور واپایش و دستور خود بفرستد. تجزیهوتحلیلهای پیشین نشان دادهاست که این بدافزار از یک نصبکننده برای تزریق خود در پردازه explorer.exe استفاده میکند.
پس از اجرا، این نصبکننده یک پرونده منبع را استخراج میکند و مولفههای مختلفی را برای بارگذاری پیلودی LockPoS پایانی تزریق میکند. اکنون این بدافزار از روش تزریقی استفاده میکند که گویا روشی تازه است و پیشتر توسط بدافزار پایانههای فروشگاهی به نام Flokibot به کار میرفت. بدافزار LockPoS توسط باتنت Flokibot توزیع شده و گویا عوامل هر دوی آنها یکی است.
شرکت Cyberbit میگوید که یکی از روشهای تزریق که توسط بدافزار LockPoS استفاده میشود، شامل ایجاد یک بخش در هسته، فراخوانی یک تابع برای نگاشت نمایشی از این بخش به فرایند دیگر و سپس کپی کردن کد در این بخش و ایجاد یک تهدید برای اجرای کد نگاشت شدهاست. دیده شدهاست که بدافزار LockPoS از سه روال اصلی به نامهای NtCreateSection ،NtMapViewOfSection و NtCreateThreadEx برای تزریق کد به فرایند از راه دور استفاده میکند؛ هرسه این روالها از سوی ntdll.dll صادر میشوند که یک کتابخانه پیوند پویا در سیستمعامل ویندوز است.
این بدافزار به جای فراخوانی روالهای گفتهشده، ntdll.dll را از دیسک به فضای آدرس مجازی خود نگاشت میکند که به آن اجازه میدهد که رونوشت درستی از پرونده کتابخانه پیوند پویا (DLL) برای خود نگه دارد. بدافزار LockPoS همچنین یک بافر را برای ذخیرهسازی تعداد فراخوانیهای سامانه تخصیص میدهد، کد ویرانگر را در بخش نگاشتشده مشترک کپی میکند، سپس یک تهدید راه دور را در explorer.exe ایجاد میکند تا کد ویرانگرش را اجرا کند.
این بدافزار میتواند با استفاده از این روش تزریق، راهکارهای حفاظتی را که توسط ضدبدافزارها در ntdll.dll اعمال میشود دور بزند و بخت خود را برای انجام حملهای پیروزمندانه افزایش دهد.
کد مطلب : 13653
https://aftana.ir/vdchx-nz.23nxmdftt2.htmlaftana.ir/vdchx-nz.23nxmdftt2.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵