یک پژوهشگر امنیتی روش جدیدی کشف کردهاست که در صورت استفاده از آن توسط مهاجمان، بدافزار میتواند پس از راهاندازی مجدد در سیستم آلوده باقی بماند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، روشهای مختلفی وجود دارد که نویسنده بدافزار میتواند به کمک آنها پایداری بدافزار را پس از راهاندازی مجدد سیستم حفظ کند، ازجمله ویرایش بخشهای راهاندازی، ربودن سیستم COM ویندوز یا سرقت فایلهای میانبر و DLL. این در حالی است که محبوبترین روش، استفاده از رجیستری ویندوز برای افزودن کلیدهای رجیستری است تا فرایند پردازشی بدافزار در هنگام راهاندازی سیستم فراخوانی شود.
یک کارشناس امنیتی نروژی با نام Oddvar Moe، روش جدیدی را کشف کردهاست که در صورت بهرهبرداری مهاجمان از این روش امکان پایداری بدافزار پس از راهاندازی سیستم فراهم میشود.
گفتنی است که در این روش از رجیستری ویندوز سوءاستفاده میشود و از این طریق ویندوز را وادار به اجرای فرایند بدافزار پس از راه اندازی سیستم میکند. روش ارائهشده توسط Moe تنها روی ویندوز ۱۰ و تنها با برنامههایی که برای (Universal Windows Platform (UWP توسعه داده شده باشند کار میکند. پلتفرم Universal یک سیستم runtime است که مایکروسافت آن را در سال ۲۰۱۵ منتشر کرد، بنابراین این تکنیک زمانی مفید است که از برنامههای UWP که ویندوز ۱۰ پس از راهاندازی بهطور خودکار اجرا میکند، مانند برنامههای Cortana و People، استفاده شود. در این روش بدافزار پس از آلوده کردن سیستم یک کلید رجیستری اضافه میکند که تنظیمات راه اندازی برنامههای UWP را ویرایش میکند. در هنگام راه اندازی مجدد، کلید رجیستری جدید برنامه UWP را در حالت دیباگ قرار میدهد و یک برنامه دیباگکننده را اجرا میکند تا به کاربر یا توسعهدهنده کمک کند تا مشکلات برنامه UWP را برطرف کند. این پژوهشگر میگوید این برنامه دیباگکننده میتواند هر برنامه دلخواهی، از جمله یک فرایند پردازشی بدافزار باشد.
از مزایای این روش این است که برنامه People یا Cortana ربودهشده در لیست برنامههای Autorun ویندوز ۱۰ نمایش داده نمیشوند و بدافزار از دید مدیر سیستم مخفی میماند. مزیت دیگر این روش عدم نیاز به دسترسی مدیریت برای اضافه کردن کلیدهای رجیستری است. مهاجم تنها کافی است کاربر را با روشی مانند مهندسی اجتماعی آلوده کند.
بسته به پیچیدگی و ویژگیهای نرمافزارهای امنیتی، این روش قابل شناسایی است، اما بسته به بدنه بدافزار، ممکن است توسط آنتیویروس شناسایی نشود.
دریافت صفحه با کد QR