طراحان یک بدافزار، قابلیت جدیدی را برای بررسی اجرای بدافزار خود در سرویس تحلیل بدافزار “Any.Run” طراحی کردهاند تا بتوانند از تحلیل بدافزارشان توسط محققان امنیتی جلوگیری کنند.
Any.Run یک سرویس تحلیل بدافزار در محیط سندباکس[1] است که کاربران و محققان امنیتی میتوانند با استفاده از آن، بدافزارها را به صورت امنی بررسی و تحلیل کنند؛ بدون این که مخاطره ای برای سیستم های رایانهای آنها ایجاد شود.
روش کار سرویس Any.Run
هنگامی که یک فایل اجرایی به سرویس Any.Run ارسال شود، این سرویس یک ماشین مجازی ویندوزی با امکان دسترسی از راه دور را به شکل تعاملی ایجاد کرده و سپس فایل ارسالی را اجرا میکند.
محققان میتوانند از این دسترسی راه دور به دسکتاپ تعاملی، برای بررسی رفتار بدافزارها استفاده کنند. Any.Run امکان ثبت فعالیتهای بدافزارها را در شبکه و تغییراتی که در فایلها و رجیستری ویندوز ایجاد میکنند، دارد.
تشخیص اجرا شدن بدافزارها در Any.Run
محققان امنیتی JAMESWT ، در یک کمپین هرزنامهای آلوده به تروجان که در پی سرقت کلمه های عبور کاربران است توانسته اند اسکریپتهای مخرب PowerShell را بدافزار مربوطه شناسایی کنند که قابلیت دانلود و نصب بر روی رایانه های کاربران را دارد.
این کد پس از اجرا، دو اسکریپت PowerShell را بر روی رایانه قربانی، دانلود و اجرا میکند که حاوی یک بدافزار تقریباً ناشناخته است. پس از اجرای اسکریپت دوم، مهاجمان تلاش می کنند تا تروجان سرقت کلمه های عبور خود را با عنوان “Azorult” اجرا کنند.
اگر این کد تشخیص دهد که بدافزار، در حال اجرا بر روی Any.Run است؛ پیام ‘Any.run Deteceted!’ را نمایش داده و به سرعت از برنامه خارج میشود. در نتیجه امکان اجرای این بدافزار در Any.Run و تحلیل آن در این سرویس وجود ندارد.
این روش باعث شده است که تحلیل این بدافزار توسط یک سیستم خودکار، برای محققان دشوارتر شود. در صورت اجرای این کد بر روی ماشین مجازی یا یک سیستم معمولی، تروجان سرقت کلمه عبور به کار خود ادامه داده و اطلاعات ورود به حساب کاربری که در مرورگرها، نرمافزارهای FTP و سایر برنامه های کاربردی ذخیره شده است را جمع آوری میکند.
اگر چه این رویکرد، مانع از تحلیل بدافزار توسط محققان امنیتی از طریق سایر روش ها نمیشود اما توانسته است کار آنها را به منظور تجزیه و تحلیل این بدافزار، اندکی بیشتر و دشوارتر کند.
با توجه به این که بسترهای تحلیل بدافزار به صورت سندباکس، کاربرد زیادی در بین محققان امنیتی دارند بنابراین انتظار میرود که در آینده ای نزدیک، بدافزارهای بیشتری آنها را مورد هدف حملات خود قرار دهند.
- [1] در امنیت رایانهای، جعبه شن (به انگلیسی: Sandbox) یک سازوکار حفاظتی برای جدا نگاهداشتن بعضی نرمافزارهای در حال اجرا در آن بخش با سایر نرمافزارها است.
منبع: bleepingcomputer