بدافزارها با کمک Packer دلفی شناسایی نمیشوند
استفاده از Packer دلفی یکی از روشهایی است که جلوی شناسایی بدافزارها را میگیرد.
به گزارش پایگاه خبری بانکداری الکترونیک، بستهبندی یا رمزگذاری یک برنامه مخرب در میان مهاجمانی که به دنبال دور زدن ابزارهای تحلیل پویا یا ایستا هستند بهطور گسترده استفاده میشود.
پژوهشگران FireEye، خدمات رمزگذاری زیادی را در فرومهای زیرزمینی مشاهده کردهاند که توسط مهاجمانی ارائهمیشوند که به دنبال غیرقابل شناسایی کردن بدافزارها در مقابل ضدویروسها، سندباکسها و غیره هستند.
نمونههایی از ابزارهای بستهبندیکننده که FireEye بررسی کردهاست دارای امضا Delphi هستند و ساختار کد Delphi دارند. زبان برنامهنویسی Delphi زبان سادهای برای نوشتن برنامههایی است که از توابع API ویندوز بهره میبرند.
عملیات سایبری زیادی مشاهده شدهاست که بدنه آنها با استفاده از این بستهبندیکننده بستهبندی شدهاند. یکی از این حملات، ایمیلهای اسپمی است که با موضوع انتقال سوییفت ارسال شدهاند. در ایمیلها از سند مخربی استفاده شده که دارای کد ماکرو مخرب برای انتقال بدنه است. نمونه دیگر استفاده از آسیبپذیری ویرایشگر روابط ریاضی در اسناد Word است. بدنه بدافزار که در این حملات از آنها استفاده شدهاست از آدرس hxxp[:]//5[.]152[.]203[.]115/win32.exe بارگیری شدهاند که به نظر میرسد بدافزار Lokibot باشد. همچنین این بستهبندی کننده دارای قابلیتی است تا اطمینان حاصل شود در محیط تحلیل اجرا نمیشود.
بسیاری از فایلهای اجرایی که از حالت بستهبندی خارج شدهاند از نمونههایی استخراج شدهاند که متعلق به خانواده بدافزار Lokibot بودند. علاوهبر این بدافزارهای Pony ،IRStealer Nanocore ،Netwire ،Remcos و nJRAT و همچنین بدافزارهای کاوشگر ارز نیز مشاهده شدهاند.
نشانههای آلودگی (IoCها):
853bed3ad5cc4b1471e959bfd0ea7c7c •
e3c421d404c088090dd8ee3365552e305 •
14e5326c۵da90cd6619b7fe1bc4a97e1 •
dc999a1a2c5e796e450c0a6a61950e3f •
3ad781934e67a8b84739866b0b55544b •
b4f5e691b264103b9c4fb04fa3429f1e
منبع: افتانا