صفحه 1 از 1

نسخه‌ی جدید باج‌افزار Cerber روش‌های یادگیری ماشین را دور می‌زند

ارسال شده: پنج‌شنبه مارس 30, 2017 1:35 pm
توسط saman
[IMG]https://news.asis.io/sites/default/file ... k=vJGSwDx9[/IMG]

به گفته‌ی محققان ترندمیکرو، نسخه‌ی جدید Cerber به مؤلفه‌های کوچک جداگانه‌ای تقسیم شده که هریک از آن‌ها مؤلفه‌ای بی‌ضرر به‌نظر می‌رسد و در عین حال می‌توانند ابزارهای تشخیص بدافزار مبتنی بر یادگیری ماشین را دور بزنند.


در هر نسخه‌ی جدید از بدافزار، قابلیت‌های جدیدی به آن اضافه شده و تلاش می‌کند روش‌های تشخیصی را دور بزند. درحقیقت اگر اهداف مخرب این باج‌افزار را نادیده بگیریم، ابتکاری که آن‌ها در ویژگی‌های جدید این باج‌افزار به خرج داده‌اند قابل تحسین است. در نسخه‌ی جدید باج‌افزار Cerber هر مرحله از آن در یک پرونده‌ی جداگانه قرار گرفته و در حین اجرا در داخل یک فرآیند تزریق می‌شوند و این موضوع به باج‌افزار این امکان را می‌دهد تا از دید سامانه‌های تشخیص بدافزار پنهان بماند.



این باج‌افزار چگونه کار می‌کند؟

باج‌افزار Cerber مانند نسخه‌های قبلی، از طریق یک رایانامه که به یک پرونده‌ی آرشیوی بر روی حساب دراپ‌باکس پیوند خورده، توزیع می‌شود. این حساب دراپ‌باکس تحت کنترل نفوذگران است. در این پرونده‌ی آرشیوی، ۳ پرونده‌ی مجزا وجود دارد. یکی از آن‌ها یک اسکریپت ویژوال بیسیک است، دومی یک DDL و سومی نیز یک پرونده‌ی باینری است. اسکریپت، پرونده‌ی DLL را بارگذاری کرده و DLL نیز از پرونده‌ی باینری خوانده و آن را اجرا می‌کند. پس از اینکه باج‌افزار بر روی سامانه‌ی قربانی مستقر شد، اجرا شدن در محیط جعبه شنی را بررسی می‌کند. اگر اجرا در محیط جعبه شنی نباشد، باج‌افزار Cerber پرونده‌ی باینری خود را داخل یکی از پردازه‌های در حال اجرا تزریق می‌کند.



در مشاوره‌نامه‌ی ترندمیکرو می‌خوانیم: «این روش فرار از تشخیص نمی‌تواند به‌طور مناسب در برابر روش‌های ضدبدافزاری چند لایه‌ای عمل کند. باج‌افزار Cerber نیز در برابر سایر روش‌ها دارای نقاط ضعف است. به‌عنوان مثال وجود یک پرونده‌ی DLL بسته‌بندی‌نشده و یا یک پرونده‌ی آرشیوی بسیار مشکوک است. روش‌های تشخیص که از تکنیک‌های مختلفی بهره می‌برند و تنها به روش‌های یادگیری ماشین متکی نیستند، هنوز هم می‌توانند از کاربران در برابر چنین تهدیداتی محافظت کنند.»