رفتن به محتوای اصلی
ثبت گزارش
ثبت گزارش
۱۳۹۶-۱۰-۲۳ ۰۹:۰۷
تنظیم اندازه قلم

پ

بدافزار LockPoS برای مخفی ماندن از صفحه بات‌نت Flokibot استفاده می‌کند

LockPoS بدافزار دستگاه پوز است که اطلاعات کارت‌های اعتباری را تخریب می‌کند و به‌عنوان یک ترفند جدید برای تزریق آرام بدافزار توسط بات‌نت Flokibot استفاده می‌شود.
طبق اعلام شرکت Cyberbit (شرکتی است که سازمان‌های پرخطر، شرکت‌های تجاری و زیرساخت‌های حیاتی را در مقابل تهدیدات سایبری محافظت می‌کند) بدافزار LockPoS حافظه فرایندهای در حال اجرا را از سیستم‌های کامپیوتری متصل به پایانه‌های PoS خوانده و به نظر می‌رسد که در حال جستجوی اطلاعات کارت‌های اعتباری است. هنگامی‌که اطلاعاتی پیدا می‌کند آن را به‌ command and control فرمان و کنترل (C & C) می‌فرستد. بدافزار LockPoS از همان بات‌نت Flokibot PoS برای توزیع خود استفاده کرده است و اکنون به نظر می‌رسد ویژگی‌های بیشتری را از کد قبلی به ارث برده است. این روش یک تکنیک تزریق بدافزار است که در سکوت کار کرده و از تنش با آنتی‌ویروس اجتناب می‌کند.

بیشتر محصولات ضدویروس در نسل‌های بعدی عملکرد ویندوز را در حالت کاربر نظارت خواهند کرد. اما در ویندوز۱۰ فضای هسته محافظت‌شده و امکان نظارت بر توابع هسته امکان‌پذیر نیست. بدافزار LockPoS مانند بات‌نت Flokibot، به‌وسیله موتورهای شناسایی بدافزار به‌روز شده است.

طبق ادعای Cyberbit، این رویکرد شامل ایجاد یک بخش در هسته ویندوز با استفاده از تابع NtCreateSection (یک تابع در API ویندوز Native بانام NtCreateSection وجود دارد. این تابع یک Object جدید ایجاد می‌کند که در منطقه‌ای از حافظه مشترک بوده و برای نمایش چندین برنامه یا فرایند استفاده‌شده و می‌توان از « views » برای به اشتراک گذاشتن داده‌های مشابه در حافظه بدون پیمایش بر یکدیگر استفاده کرد. این تابع از هر دو فضای کاربر و حالت هسته قابل‌خواندن است) می‌باشد، همچنین می‌تواند با فراخوانی تابع NtMapViewOfSection برای نمایش بخشی از فرآیند دیگر، کپی کردن کد در آن بخش و درنهایت ایجاد یک فرمان از راه دور استفاده  و از توابع NtCreateThreadEx یا CreateRemoteThread برای اجرای نقشه کد بهره ببرد.

Hod Gavriel تحلیلگر بدافزار در Cyberbit، در تحلیل فنی خود توضیح داد: "این روش تزریق جدید بدافزار نشان می‌دهد که این روند می‌تواند توسعه‌یافته و باعث ایجاد مشکلات تازه‌ای شود."  "در حال حاضر بهترین روش تشخیص این است که با تجزیه‌وتحلیل در حافظه بر بهبود آن تمرکز شود، با توجه به اینکه این موضوع می‌تواند از روی حیله و تزویر باشد، اما این بهترین ردیابی موجود است که در حال حاضر می‌تواند برای راه‌حل‌های امنیتی قابل‌دسترس باشد."
 

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط