دانشمندان امنیتی بدافزارهایی را شناسایی کردند که برای دور زدن آنتیویروس از روشهای مبهمسازی بهره میگیرند.
منبع : مرکز مدیریت راهبردی افتا
دانشمندان امنیتی بدافزارهایی را شناسایی کردند که برای دور زدن آنتیویروس از روشهای مبهمسازی بهره میگیرند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران امنیتی نمونه جدیدی از نرمافزارهای مخرب را کشف کردهاند که با استفاده از تکنیکهای مختلف مبهمسازی امضای عمومی، محصول نهایی را برای جلوگیری از شناسایی توسط ضدویروس تغییر میدهند. از آنجایی که بسیاری از محصولات ضدویروس مبتنیبر تشخیص امضا هستند، روشهای مبهمسازی ازجمله Pack کردن و رمز کردن بدافزار برای فرار از شناسایی توسط ضدویروسها بهطور گسترده مورد استفاده بدافزارنویسان قرار میگیرد.
فایل بدافزار از طریق آرشیو ZIP که حاوی یک اسکریپت VB و یک PDF Document است، توزیع میشود. اسکریپت VB که قرار است با استفاده از PowerShell اجرا شود از تکنیک مبهمسازی استفاده میکند تا توسط ضدویروسها شناسایی نشود. اسکریپت VB در ادامه فایل اسکریپتی 1cr.dat را از آدرس "hxxps: // ravigel [dot] com/۱cr [dot] dat" از طریق PowerShell Script دانلود میکند.
فایل 1cr.dat با استفاده از روش رمزنگاری رشته در C# به نام SecureString که معمولا برای رمزگذاری رشتههای حساس در برنامهها که با استفاده از DPAPI ساخته شدهاند کاربرد دارد، رمزگذاری شدهاست. سپس فایل PE دیگری با نام "top.tab" با استفاده از اسکریپت موجود دانلود میشود و کد مخرب نهایی به دستگاه قربانی تزریق میشود.
در صورتی که بدافزار بر روی سیستم قرار گرفتهباشد با استفاده از یک دیوار آتش وب میتوان لحظه ارتباط بدافزار با مهاجم را متوجه شد و نسبت به پاکسازی بدافزار اقدام کرد، بنابراین توصیه میشود برای اطلاع از وجود بدافزار و جلوگیری از فعالیت و پاکسازی آن از یک دیوار آتش وب (WAF) مطمئن و ایمن استفادهشود.