بدافزاری كه در رجیستری ویندوز خانه می‌ كند

Poweliks هیچ فایلی روی هارد دیسك ایجاد نمی‌كند.

محققان امنیتی هشدار دادند كه یك برنامه بدافزاری جدید به نام Poweliks سعی می‌كند با اجرای كامل از روی رجیستری سیستم و بدون ایجاد فایلی بر روی سیستم، از شناسایی و تحلیل خود توسط متخصصان امنیتی جلوگیری نماید.

ایده بدافزار «بدون فایل» كه صرفاً در حافظه سیستم وجود دارد جدید نیست، ولی چنین تهدیداتی نادر هستند، چرا كه نوعاً در راه‌اندازی‌های مجدد سیستم و پس از پاك شدن حافظه، نمی‌توانند به حیات خود ادامه دهند. اما در مورد Poweliks این مسأله صادق نیست. به گفته محققان بدافزارهای شركت امنیتی G Data Software، این بدافزار از روش جدیدی برای بقای خود استفاده می‌كند و در عین حال هیچ فایلی نیز ایجاد نمی‌كند.

هنگامی كه Poweliks سیستمی را آلوده می‌كند، یك مدخل در رجیستری ایجاد می‌نماید كه فایل ویندوزی معتبر rundll32.exe و سپس كد جاوا اسكریپت رمز شده‌ای را اجرا می‌كند. این كار پردازه‌ای را راه‌اندازی می‌كند.

كد جاوا اسكریپت مزبور بررسی می‌كند كه آیا Windows PowerShell كه یك پوسته خط فرمان و محیط اسكریپتینگ است بر روی سیستم وجود دارد یا خیر. درصورتی‌كه این پوسته وجود نداشته باشد، آن را دانلود كرده و نصب می‌نماید و سپس كدهای دیگری را كه در حقیقت یك اسكریپت PoweShell است رمزگشایی می‌كند.

این اسكریپت PowerShell با استفاده از ترفندی برای دور زدن محافظ پیش‌فرض ویندوز كه از اجرای اسكریپت‌های ناشناس PowerShell بدون تأیید كاربر جلوگیری می‌كند، اجرا می‌گردد. سپس این اسكریپت Shellcode را كه یك DLL را مستقیماً به حافظه سیستم تزریق می‌كند، رمزگشایی كرده و اجرا می‌نماید.

هنگامی كه این DLL تقلبی در حال اجرا در حافظه است، به دو آدرس آی‌پی در قزاقستان متصل شده و دستورات را دریافت می‌كند. این بدافزار می‌تواند بسته به تمایل مهاجم برای دانلود و نصب سایر تهدیدات به كار رود.

در طول این پروسه، از زمان اجرای كد جاوا اسكریپت تا تزریق نهایی DLL، این بدافزار هیچ فایل خرابكاری بر روی هارد دیسك ایجاد نمی‌كند كه این مسأله، شناسایی آن را برای آنتی‌ویروس‌ها مشكل می‌سازد.

علاوه بر اینها، نام كلید رجیستری ایجاد شده توسط Poweliks یك كاراكتر غیر اسكی است. این ترفندی است كه از نمایش این مدخل رجیستری توسط regedit (ابزار ویرایش رجیستری ویندوز) و احتمالاً سایر برنامه‌ها جلوگیری می‌كند و به این ترتیب شناسایی دستی آلودگی را برای كاربر و نیز تحلیلگران بدافزار مشكل می‌سازد.

برخی ویرایش‌های Poweliks ازطریق اسناد خرابكار Word كه به هرزنامه‌ها پیوست شده بودند و وانمود می‌كردند كه از پست كانادا یا پست ایالات متحده ارسال شده‌اند، منتشر گشته‌اند. این اسناد خرابكار از یك آسیب‌پذیری اجرای كد از راه دور در آفیس 2003، 207 و 2010 كه در آوریل 2012 اصلاح شده بود استفاده می‌كردند. البته با توجه به سایر گزارش‌ها، این بدافزار همچنین از طریق حملات drive-by download كه از نقایص وب استفاده می‌كنند نیز منتشر شده است.

آنتی‌ویروس‌ها برای مسدود كردن بدافزاری مانند Powliks باید یا فایل Word اولیه را پیش از اجرا و ترجیحاً پیش از رسیدن به صندوق پستی كاربر توقیف نمایند یا اینكه در خط بعدی دفاعی، پس از اجرای فایل قادر به شناسایی كد سوء استفاده كننده از آسیب‌پذیری نرم‌افزار باشند، و یا در نهایت، رفتار غیرمعمول را تشخیص داده و پردازه مربوطه را مسدود كرده و به كاربر هشدار دهند.

درباره پارسینگ

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.  

تماس با ما

تهران، اقدسیه، میدان ازگل، کوچه نوبهار، بن بست همیشه بهار، پلاک سوم

info[at]parsing[dot]ir

22196283 21 (98)

9120268477 (98)

پارسینگ را در گوگل محبوب کنید: