مایکروسافت درباره بدافزار Dexphot توضیح داد که از سال 2018 در حال آلوده کردن رایانههای ویندوزی است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،پژوهشگران امنیتی مایکروسافت جزئیاتی را از یک بدافزار جدید منتشر کردند که از ماه اکتبر سال ۲۰۱۸ در حال آلوده کردن رایانههای ویندوزی است تا برای ایجاد درآمد برای مهاجمان، منابع سیستم هدف را به جهت کاوش رمزارز مورد بهرهبرداری قرار دهد.
بدافزار Dexphot در اواسط ماه ژوئن در سال جاری به اوج فعالیت خود رسید که رایانههای آلوده شده توسط آن به حدود ۸۰ هزار مورد رسید. پس از این تاریخ، آلودگیهای روزانه Dexphot کاهش یافت که به ادعای مایکروسافت این امر به دلیل پیادهسازی اقدامات دفاعی برای بهبود شناسایی و توقف آنهاست.
در حالی که هدف نهایی بدافزار Doxphot بسیار پیش پا افتاده است، اما روشها و تکنیکهای استفاده شده در این بدافزار دارای پیچیدگیهای بالایی هستند. این بدافزار یکی از تهدیدهای بیشماری است که در هر زمان فعال است. بدافزار دارای هدف رایجی است و با نصب یک کاوشگر رمز ارز، بهطور کاملا مخفیانه منابع رایانه را به سرقت میبرد و برای عوامل خود درآمدزایی میکند. تکنیکهای پیشرفته Dexphot شامل اجرای بدون فایل، تکنیکهای چندشکلی (polymorphic) و مکانیزمهای پایداری بوت هوشمند و اضافی میشوند.
به گفته مایکروسافت، Dexphot یک بدافزار مرحله دوم است - نوعی بدافزار که بر روی سیستمهایی که قبلاً توسط سایر بدافزارها آلوده شدهاند، منتقل میشوند. در این حالت، Dexphot روی رایانههایی قرار میگیرد و قبلا به ICLoader آلوده شده بودند. ICLoader بدافزاری است که معمولاً به عنوان بخشی از بستههای نرمافزاری، بدون اطلاع کاربر یا در هنگام بارگیری و نصب کرک نرمافزارهای دزدی، در رایانه هدف نصب میشود.
مایکروسافت میگوید که نصبکننده بدافزار تنها بخشی از Dexphot است که روی دیسک نوشته میشود، اما این کار تنها برای مدت زمان کوتاهی انجام میشود. تمام فایلها یا عملیات Dexphot از یک تکنیک معروف به عنوان اجرای بدون فایل، بهره میگیرند که این تکنیک برای اجرا در حافظه رایانه استفاده شده و باعث مخفی ماندن حضور بدافزار روی یک سیستم میشود.
علاوه بر این، Dexphot از تکنیکی به نام LOLbins استفادهمیکند تا به جای استفاده از فایلها و فرایندهای خود، از فرایندهای پردازشی قانونی ویندوز برای اجرای کد مخرب سوءاستفاده کند. به عنوان مثال، Dexphot مرتباً از فایلهای اجرایی از پیش نصب شده msiexec.exe ،unzip.exe ،rundll۳۲.exe ، schtasks.exe و owershell.exe سوءاستفاده میکند. با استفاده از این فرایندها برای راه اندازی و اجرای کد مخرب، Dexphot به خوبی از سایر برنامههای محلی ویندوز غیر قابل تشخیص میشود.
از دیگر پیچیدگیهای Dexphot، استفاده از تکنیک چندشکلی (polymorphism) است. این تکنیک به بدافزارهایی اطلاق میشود که به طور مداوم اثرات خود را تغییر میدهند. طبق گفته مایکروسافت، اپراتورهای Dexphot هر ۲۰ الی۳۰ دقیقه یک بار نام فایلها و URLهای مورد استفاده در فرایند آلودگی را تغییر میدهند. با بهرهگیری از این تکنیک، راهکارهای ضدبدافزار به سختی میتوانند Dexphot را شناسایی کنند. زمانی که یک برنامه ضدویروس الگوی موجود در زنجیره آلودگی Dexphot را تشخیص دهد، این الگو تغییر کرده و به اپراتور Dexphot اجازه میدهد تا یک قدم جلوتر از محصولات امنیتی باشند.
اما هیچ بدافزاری برای همیشه کشف نشده باقی نمیماند و حتی این مورد را نیز توسعهدهندگان Dexphot از قبل پیشبینی کردهاند. مایکروسافت میگوید Dexphot دارای مکانیزمهای پایداری هوشمندانه است که اغلب سیستمهایی را که از کلیه اثرات بدافزار پاک نشدهاند، دوباره آلوده میکند.
در ابتدا، بدافزار از تکنیکی بنام process hollowing استفاده میکند تا دو فرآیند مشروع (svchost.exe و nslookup.exe) را آغاز کند، محتوای آنها را خالی کرده و کد مخرب را از درون آنها اجرا کند. این دو فرایند بدافزار را رصد میکنند تا در صورتی که یک نرمافزار ضدویروس یکی را حذف کند، فرایند دوم به عنوان پشتیبان عمل کرده و سیستم را دوباره آلوده کند.
قابلیت دیگر بدافزار، آلودگیسازی مجدد سیستم هدف طی هر راهاندازی مجدد و یا هر ۹۰ الی ۱۱۰ دقیقه است. از آنجا که این فعالیتهای برنامهریزی شده در فواصل منظم انجام میشوند، عوامل Dexphot دارای قابلیت بهروزرسانی سیستمهای آلوده شده نیز هستند. با هربار اجرای این فعالیتهای برنامهریزی شده، فایلی از سرور مهاجم دریافت میشود که حاوی دستورالعملهای بهروز شده برای بدافزار است.
به گفته مایکروسافت، اقدامات دفاعی جدیدی برای بهبود شناسایی و توقف این بدافزار در Microsoft Defender اعمال شدهاست تا حفاظت جامع در قبال این بدافزار انجام شود.