بدافزارها با کمک Packer دلفی شناسایی نمی‌شوند

به گزارش پایگاه خبری بانکداری الکترونیک، بسته‌بندی یا رمزگذاری یک برنامه مخرب در میان مهاجمانی که به دنبال دور زدن ابزارهای تحلیل پویا یا ایستا هستند به‌طور گسترده استفاده می‌شود.

پژوهشگران FireEye، خدمات رمزگذاری زیادی را در فروم‌های زیرزمینی مشاهده کرده‌اند که توسط مهاجمانی ارائه‌می‌شوند که به دنبال غیرقابل شناسایی کردن بدافزارها در مقابل ضدویروس‌ها، سندباکس‌ها و غیره هستند.

نمونه‌هایی از ابزارهای بسته‌بندی‌کننده که FireEye بررسی کرده‌است دارای امضا Delphi هستند و ساختار کد Delphi دارند. زبان برنامه‌نویسی Delphi زبان ساده‌ای برای نوشتن برنامه‌هایی است که از توابع API ویندوز بهره می‌برند.

عملیات سایبری زیادی مشاهده شده‌است که بدنه آنها با استفاده از این بسته‌بندی‌کننده بسته‌بندی شده‌اند. یکی از این حملات، ایمیل‌های اسپمی است که با موضوع انتقال سوییفت ارسال شده‌اند. در ایمیل‌ها از سند مخربی استفاده شده که دارای کد ماکرو مخرب برای انتقال بدنه است. نمونه دیگر استفاده از آسیب‌پذیری ویرایشگر روابط ریاضی در اسناد Word است. بدنه بدافزار که در این حملات از آنها استفاده شده‌است از آدرس hxxp[:]//5[.]152[.]203[.]115/win32.exe بارگیری شده‌اند که به نظر می‌رسد بدافزار Lokibot باشد. همچنین این بسته‌بندی کننده دارای قابلیتی است تا اطمینان حاصل شود در محیط تحلیل اجرا نمی‌شود.

بسیاری از فایل‌های اجرایی که از حالت بسته‌بندی خارج شده‌اند از نمونه‌هایی استخراج شده‌اند که متعلق به خانواده بدافزار Lokibot بودند. علاوه‌بر این بدافزارهای Pony ،IRStealer Nanocore ،Netwire ،Remcos و nJRAT و همچنین بدافزارهای کاوشگر ارز نیز مشاهده شده‌اند.

نشانه‌های آلودگی (IoCها):
853bed3ad5cc4b1471e959bfd0ea7c7c •
e3c421d404c088090dd8ee3365552e305 •
14e5326c۵da90cd6619b7fe1bc4a97e1 •
dc999a1a2c5e796e450c0a6a61950e3f •
3ad781934e67a8b84739866b0b55544b •
b4f5e691b264103b9c4fb04fa3429f1e

منبع: افتانا