Beep Malware
محققان امنیت سایبری یک نرم افزار تهدیدآمیز را کشف کرده اند که تحت عنوان "بیپ" ردیابی می شود. این بدافزار با طیف گسترده ای از ویژگی ها طراحی شده است که آن را در برابر تشخیص و تجزیه و تحلیل توسط نرم افزارهای امنیتی بسیار مقاوم می کند. بدافزار Beep علیرغم اینکه در مرحله توسعه قرار دارد و اجزای ضروری خاصی ندارد، این توانایی را دارد که به عوامل تهدید اجازه دهد از راه دور بارگیری های اضافی را روی دستگاه هایی که با موفقیت به خطر انداخته اند، دانلود و اجرا کنند. جزئیات این تهدید در گزارشی که توسط کارشناسان infosec منتشر شد منتشر شد.
این امر Beep را به یک تهدید بسیار نگرانکننده برای سازمانها و افراد تبدیل میکند، زیرا میتواند به مهاجمان دسترسی غیرمجاز به اطلاعات حساس و کنترل دستگاههای آسیبدیده را بدهد. افراد و سازمانها باید نرمافزار امنیتی خود را بهروز نگه دارند و مراقب هرگونه نشانهای از فعالیت مشکوک در دستگاههای خود باشند تا از چنین حملات بدافزاری جلوگیری کنند.
بدافزار Beep می تواند خطر قابل توجهی برای قربانیان هدف ایجاد کند
Beep برای جمع آوری اطلاعات حساس از دستگاه در معرض خطر طراحی شده است. از سه جزء اصلی تشکیل شده است: قطره چکان، انژکتور و محموله.
قطره چکان که با نام "big.dll" نیز شناخته می شود، یک کلید رجیستری جدید با مقدار خاصی به نام AphroniaHaimavati ایجاد می کند. این مقدار حاوی یک اسکریپت PowerShell است که در قالب base64 کدگذاری شده است. اسکریپت PowerShell توسط یک کار زمانبندی شده در دستگاه هر 13 دقیقه راهاندازی میشود.
هنگامی که اسکریپت اجرا می شود، داده ها را دانلود کرده و در یک تزریق کننده به نام AphroniaHaimavati.dll ذخیره می کند. انژکتور مسئول استفاده از تکنیک های مختلف ضد اشکال زدایی و ضد vm (مجازی سازی) برای تزریق بار به یک فرآیند سیستم قانونی به نام "WWAHost.exe" است. این کار از طریق فرآیندی به نام فرآیند حفره انجام می شود، که به جلوگیری از شناسایی ابزارهای امنیتی در حال اجرا بر روی هاست کمک می کند.
بار اصلی مسئول جمع آوری داده ها از دستگاه در معرض خطر و رمزگذاری آن است. سپس سعی می کند داده های رمزگذاری شده را به سرور فرمان و کنترل (C2) ارسال کند که کد سختی داشت. در طول تجزیه و تحلیل، آدرس سخت افزاری C2 آفلاین بود، اما بدافزار به تلاش برای اتصال ادامه داد، حتی پس از 120 بار تلاش ناموفق.
بدافزار Beep به شدت بر روی ناشناخته ماندن متمرکز شده است
بدافزار Beep بهخاطر تکنیکهای فرار چندگانهاش که در طول جریان اجرای آن اجرا میشود، شناخته شده است، که تشخیص و تجزیه و تحلیل توسط نرمافزارهای امنیتی و محققان infosec را دشوار میکند. این تکنیکها شامل رفع ابهامزدایی رشتهها، بررسی زبان سیستم، تشخیص اشکالزدایی، اقدامات ضد VM و آنتیباکس ایمنی و غیره است. مؤلفه تزریق کننده این بدافزار چندین تکنیک اضافی ضد اشکال زدایی و تشخیص فرار را نیز پیاده سازی می کند. تمرکز بیپ بر فرار نشان میدهد که ممکن است با وجود فعالیتهای محدودی که در حال حاضر در طبیعت انجام میدهد، مراقب آن باشید.