Beep Malware

محققان امنیت سایبری یک نرم افزار تهدیدآمیز را کشف کرده اند که تحت عنوان "بیپ" ردیابی می شود. این بدافزار با طیف گسترده ای از ویژگی ها طراحی شده است که آن را در برابر تشخیص و تجزیه و تحلیل توسط نرم افزارهای امنیتی بسیار مقاوم می کند. بدافزار Beep علیرغم اینکه در مرحله توسعه قرار دارد و اجزای ضروری خاصی ندارد، این توانایی را دارد که به عوامل تهدید اجازه دهد از راه دور بارگیری های اضافی را روی دستگاه هایی که با موفقیت به خطر انداخته اند، دانلود و اجرا کنند. جزئیات این تهدید در گزارشی که توسط کارشناسان infosec منتشر شد منتشر شد.

این امر Beep را به یک تهدید بسیار نگران‌کننده برای سازمان‌ها و افراد تبدیل می‌کند، زیرا می‌تواند به مهاجمان دسترسی غیرمجاز به اطلاعات حساس و کنترل دستگاه‌های آسیب‌دیده را بدهد. افراد و سازمان‌ها باید نرم‌افزار امنیتی خود را به‌روز نگه دارند و مراقب هرگونه نشانه‌ای از فعالیت مشکوک در دستگاه‌های خود باشند تا از چنین حملات بدافزاری جلوگیری کنند.

بدافزار Beep می تواند خطر قابل توجهی برای قربانیان هدف ایجاد کند

Beep برای جمع آوری اطلاعات حساس از دستگاه در معرض خطر طراحی شده است. از سه جزء اصلی تشکیل شده است: قطره چکان، انژکتور و محموله.

قطره چکان که با نام "big.dll" نیز شناخته می شود، یک کلید رجیستری جدید با مقدار خاصی به نام AphroniaHaimavati ایجاد می کند. این مقدار حاوی یک اسکریپت PowerShell است که در قالب base64 کدگذاری شده است. اسکریپت PowerShell توسط یک کار زمان‌بندی شده در دستگاه هر 13 دقیقه راه‌اندازی می‌شود.

هنگامی که اسکریپت اجرا می شود، داده ها را دانلود کرده و در یک تزریق کننده به نام AphroniaHaimavati.dll ذخیره می کند. انژکتور مسئول استفاده از تکنیک های مختلف ضد اشکال زدایی و ضد vm (مجازی سازی) برای تزریق بار به یک فرآیند سیستم قانونی به نام "WWAHost.exe" است. این کار از طریق فرآیندی به نام فرآیند حفره انجام می شود، که به جلوگیری از شناسایی ابزارهای امنیتی در حال اجرا بر روی هاست کمک می کند.

بار اصلی مسئول جمع آوری داده ها از دستگاه در معرض خطر و رمزگذاری آن است. سپس سعی می کند داده های رمزگذاری شده را به سرور فرمان و کنترل (C2) ارسال کند که کد سختی داشت. در طول تجزیه و تحلیل، آدرس سخت افزاری C2 آفلاین بود، اما بدافزار به تلاش برای اتصال ادامه داد، حتی پس از 120 بار تلاش ناموفق.

بدافزار Beep به شدت بر روی ناشناخته ماندن متمرکز شده است

بدافزار Beep به‌خاطر تکنیک‌های فرار چندگانه‌اش که در طول جریان اجرای آن اجرا می‌شود، شناخته شده است، که تشخیص و تجزیه و تحلیل توسط نرم‌افزارهای امنیتی و محققان infosec را دشوار می‌کند. این تکنیک‌ها شامل رفع ابهام‌زدایی رشته‌ها، بررسی زبان سیستم، تشخیص اشکال‌زدایی، اقدامات ضد VM و آنتی‌باکس ایمنی و غیره است. مؤلفه تزریق کننده این بدافزار چندین تکنیک اضافی ضد اشکال زدایی و تشخیص فرار را نیز پیاده سازی می کند. تمرکز بیپ بر فرار نشان می‌دهد که ممکن است با وجود فعالیت‌های محدودی که در حال حاضر در طبیعت انجام می‌دهد، مراقب آن باشید.