کارشناسان درباره Beep هشدار می دهند ، بدافزار جدید فراری که می تواند زیر رادار حرکت کند.

محققان امنیت سایبری ، یک بدافزار جدید به نام Beep را کشف کرده‌اند، دلیل این نامگذاری این است که اجرای آن از طریق استفاده از Beep API function (صدای “بیپ” واقعی) است .این بدافزار برای حرکت در زیر رادار و انداختن پی لودها ( payloads ) بر روی یک میزبان در معرض خطر طراحی شده است.

در امنیت سایبری، پی‌لود (Payload)، یک بسته از داده‌هاست که توسط یک بدافزار و از طریق وسایل یا شبکه‌های آسیب‌دیده، منتقل می‌شود .
یکی از محققان آزمایشگاه Minerva، گفت: به نظر می‌رسد که نویسندگان این بدافزار ، سعی براین داشته اند که تکنیک‌های ضد اشکال زدایی و آنتی VM (آنتی سندباکس) را پیاده‌سازی کنند.

از آنجایی که یکی از این تکنیک‌ها شامل به تأخیر انداختن اجرا از طریق استفاده از Beep API function بود، این بدافزار Beep نامیده شد .

Beep از سه جزء تشکیل شده است که اولین آن Dropper یا قطره چکان است که مسئول ایجاد یک کلید رجیستری جدید ویندوز و اجرای یک اسکریپت PowerShell با کد Base64 است که در آن ذخیره شده است.نحوه کار ابزار Dropper یا قطره چکان به این صورت می باشد که به ترتیب و یا به درخواست مهاجم بصورت ذره ذره و کم کم کدهای مخرب اجرایی مثل Backdoor ها و Rootkit ها و Keylogger ها را دریافت می کند و بر روی سیستم هدف نصب می کند.

بدافزار بیپ تکنیک های فرار هوشمندانه و همچنین اشتباهات تازه کار را نشان می دهد

اسکریپت پاورشل(PowerShell) ، به نوبه خود، برای بازیابی یک انژکتور به یک سرور ریموت دسترسی پیدا می‌کند، که پس از تأیید اینکه سرور هنوز debugged (اشکال زدایی) نشده و یا در ماشین مجازی راه‌اندازی نشده است ، از طریق تکنیکی به نام Process Hollowing ، پی لود  را استخراج و راه‌اندازی می‌کند.

Process Hollowing یک ترفند Code Injection است که در آن بدافزار یک روند قانونی را در حالت تعلیق ایجاد می‌کند. سپس آدرس حافظه فرآیند مجاز آزاد شده و کد مخرب جایگزین آن می‌گردد. وقتی رشته فرآیند از سر گرفته می‌شود، کد مخرب غلط ‌انداز را به عنوان یک فرآیند مجاز اجرا می‌کند.

پی لود (Payload ) ، یک دزدی اطلاعات می باشد که برای جمع آوری و استخراج اطلاعات سیستم و شمارش فرآیندهای در حال اجرا مجهز است. سایر دستورالعمل‌هایی که بدافزار می‌تواند از سرور فرمان و کنترل (C2) بپذیرد، شامل توانایی اجرای فایل‌های DLL و EXE است.

با توجه به اینکه بدافزار بیپ Beep هنوز در مراحل اولیه توسعه خود است ، ویژگی های بیشتری نیز می توانند به این بدافزار  افزوده شوند.

چیزی که این بدافزار نوظهور را از بدافزارهای قدیمی تر متمایز می‌کند، تمرکز شدید آن بر پنهان‌کاری، اتخاذ تعداد زیادی از روش‌های فرار از تشخیص و مقاومت در برابر تجزیه و تحلیل، اجتناب از سندباکسینگ و تأخیر در اجرا است.

هنگامی که این بدافزار با موفقیت به یک سیستم نفوذ کند، می‌تواند به راحتی طیف گسترده‌ای از ابزارهای مخرب اضافی از جمله باج‌افزار را دانلود و پخش کند .این مساله بدافزار را بسیار خطرناک می‌کند.

این یافته‌ها در شرایطی به دست آمد که تولید کننده آنتی‌ویروس Avast جزئیات دیگری از سویه قطره چکان با کد NeedleDropper را فاش کرد که از اکتبر 2022 برای توزیع خانواده‌های مختلف بدافزار استفاده شده است.

این بدافزار که از طریق پیوست‌های ایمیل هرزنامه، Discord یا URLهای OneDrive ارائه می‌شود، گمان می‌رود که به عنوان سرویسی برای سایر مجرمان سایبری که به دنبال توزیع پی لودهای خود هستند ارائه شود.بدافزار Beep سعی می‌کند با حذف بسیاری از فایل‌های استفاده نشده و نامعتبر خود را پنهان کند و داده‌های مهم را بین چندین مگابایت داده بی‌اهمیت ذخیره کند و همچنین از برنامه‌های کاربردی قانونی برای اجرای خود استفاده می‌کند.

سازمان ها با خطرات افزایش یافته ناشی از تهدیدات پیچیده تر روبرو هستند.از آنجایی که شناسایی بدافزار دشوارتر می شود، باید تمرکز بیشتری روی جلوگیری از نفوذ آن در وهله اول صورت گیرد. کاربران باید بهتر آموزش ببینند و آگاهی بیشتری داشته باشند، و باید ابزارهایی را توسعه دهند که بتوانند پی لودهای مشکوک را از رسیدن به هدف خود باز دارند. ما همچنین به درک بهتری از وضعیت نیاز داریم تا بتوانیم سیستم‌های آلوده را قبل از اینکه بدافزار آسیب بیشتری وارد کند ، شناسایی و ایزوله کنیم .

کریستین سیمکو، معاون بازاریابی محصول در AppViewX، می گوید روشی که Beep ساخته شده است، تشخیص آن را دشوار می‌کند و بنابراین، می‌تواند در بررسی‌های کد گم شود و در نهایت نرم‌افزار قانونی را در معرض خطر قرار دهد. احتمال بیشتری وجود دارد که مهاجمان از فیشینگ و جعل وب سایت استفاده کنند تا افراد را مجبور به اجرای بدافزار کنند که می تواند در دفاع امنیتی برای شناسایی فعالیت های مخرب و همچنین برای امنیت سازمان مضر باشد.

سیمکو همچنین افزود: «در این مورد، آموزش امنیت سایبری هنوز یکی از بهترین دفاع ها است. پیوست‌هایی را که فایل‌های اجرایی هستند (exe., .dll) باز نکنید. روی پیوندهای نامعتبر در ایمیل ها کلیک نکنید. با وب‌سایت‌هایی که https محافظت نشده‌اند (گواهینامه‌های TLS/SSL) تعامل نداشته باشید و حتی در این مورد همیشه بر اساس محتوا احتیاط کنید.»

By |۱۴۰۲/۸/۲۲ ۱۲:۴۰:۳۴۳۰ام بهمن, ۱۴۰۱|Categories: اخبار|Tags: , |بدون ديدگاه

با دیگران نیز به اشتراک بگذارید

Go to Top