نسخهی جدید باجافزار Cerber روشهای یادگیری ماشین را دور میزند
ارسال شده: پنجشنبه مارس 30, 2017 1:35 pm
[IMG]https://news.asis.io/sites/default/file ... k=vJGSwDx9[/IMG]
به گفتهی محققان ترندمیکرو، نسخهی جدید Cerber به مؤلفههای کوچک جداگانهای تقسیم شده که هریک از آنها مؤلفهای بیضرر بهنظر میرسد و در عین حال میتوانند ابزارهای تشخیص بدافزار مبتنی بر یادگیری ماشین را دور بزنند.
در هر نسخهی جدید از بدافزار، قابلیتهای جدیدی به آن اضافه شده و تلاش میکند روشهای تشخیصی را دور بزند. درحقیقت اگر اهداف مخرب این باجافزار را نادیده بگیریم، ابتکاری که آنها در ویژگیهای جدید این باجافزار به خرج دادهاند قابل تحسین است. در نسخهی جدید باجافزار Cerber هر مرحله از آن در یک پروندهی جداگانه قرار گرفته و در حین اجرا در داخل یک فرآیند تزریق میشوند و این موضوع به باجافزار این امکان را میدهد تا از دید سامانههای تشخیص بدافزار پنهان بماند.
این باجافزار چگونه کار میکند؟
باجافزار Cerber مانند نسخههای قبلی، از طریق یک رایانامه که به یک پروندهی آرشیوی بر روی حساب دراپباکس پیوند خورده، توزیع میشود. این حساب دراپباکس تحت کنترل نفوذگران است. در این پروندهی آرشیوی، ۳ پروندهی مجزا وجود دارد. یکی از آنها یک اسکریپت ویژوال بیسیک است، دومی یک DDL و سومی نیز یک پروندهی باینری است. اسکریپت، پروندهی DLL را بارگذاری کرده و DLL نیز از پروندهی باینری خوانده و آن را اجرا میکند. پس از اینکه باجافزار بر روی سامانهی قربانی مستقر شد، اجرا شدن در محیط جعبه شنی را بررسی میکند. اگر اجرا در محیط جعبه شنی نباشد، باجافزار Cerber پروندهی باینری خود را داخل یکی از پردازههای در حال اجرا تزریق میکند.
در مشاورهنامهی ترندمیکرو میخوانیم: «این روش فرار از تشخیص نمیتواند بهطور مناسب در برابر روشهای ضدبدافزاری چند لایهای عمل کند. باجافزار Cerber نیز در برابر سایر روشها دارای نقاط ضعف است. بهعنوان مثال وجود یک پروندهی DLL بستهبندینشده و یا یک پروندهی آرشیوی بسیار مشکوک است. روشهای تشخیص که از تکنیکهای مختلفی بهره میبرند و تنها به روشهای یادگیری ماشین متکی نیستند، هنوز هم میتوانند از کاربران در برابر چنین تهدیداتی محافظت کنند.»
به گفتهی محققان ترندمیکرو، نسخهی جدید Cerber به مؤلفههای کوچک جداگانهای تقسیم شده که هریک از آنها مؤلفهای بیضرر بهنظر میرسد و در عین حال میتوانند ابزارهای تشخیص بدافزار مبتنی بر یادگیری ماشین را دور بزنند.
در هر نسخهی جدید از بدافزار، قابلیتهای جدیدی به آن اضافه شده و تلاش میکند روشهای تشخیصی را دور بزند. درحقیقت اگر اهداف مخرب این باجافزار را نادیده بگیریم، ابتکاری که آنها در ویژگیهای جدید این باجافزار به خرج دادهاند قابل تحسین است. در نسخهی جدید باجافزار Cerber هر مرحله از آن در یک پروندهی جداگانه قرار گرفته و در حین اجرا در داخل یک فرآیند تزریق میشوند و این موضوع به باجافزار این امکان را میدهد تا از دید سامانههای تشخیص بدافزار پنهان بماند.
این باجافزار چگونه کار میکند؟
باجافزار Cerber مانند نسخههای قبلی، از طریق یک رایانامه که به یک پروندهی آرشیوی بر روی حساب دراپباکس پیوند خورده، توزیع میشود. این حساب دراپباکس تحت کنترل نفوذگران است. در این پروندهی آرشیوی، ۳ پروندهی مجزا وجود دارد. یکی از آنها یک اسکریپت ویژوال بیسیک است، دومی یک DDL و سومی نیز یک پروندهی باینری است. اسکریپت، پروندهی DLL را بارگذاری کرده و DLL نیز از پروندهی باینری خوانده و آن را اجرا میکند. پس از اینکه باجافزار بر روی سامانهی قربانی مستقر شد، اجرا شدن در محیط جعبه شنی را بررسی میکند. اگر اجرا در محیط جعبه شنی نباشد، باجافزار Cerber پروندهی باینری خود را داخل یکی از پردازههای در حال اجرا تزریق میکند.
در مشاورهنامهی ترندمیکرو میخوانیم: «این روش فرار از تشخیص نمیتواند بهطور مناسب در برابر روشهای ضدبدافزاری چند لایهای عمل کند. باجافزار Cerber نیز در برابر سایر روشها دارای نقاط ضعف است. بهعنوان مثال وجود یک پروندهی DLL بستهبندینشده و یا یک پروندهی آرشیوی بسیار مشکوک است. روشهای تشخیص که از تکنیکهای مختلفی بهره میبرند و تنها به روشهای یادگیری ماشین متکی نیستند، هنوز هم میتوانند از کاربران در برابر چنین تهدیداتی محافظت کنند.»