به گزارذش ایسنا، همانطور که از نامش مشخص است Early bird یک تکنیک ساده اما هنوز کارآمد است که به مهاجمان اجازه میدهد یک کد مخرب را به داخل یک پردازش صحیح (legitimate) تزریق کنند، قبل از اینکه بخش اصلی این پردازش آغاز شود. بنابراین توسط نرمافزارهای ضد بدافزار که از ابزارهای سیستم عامل ویندوز استفاده میکنند، شناسایی نمیشوند.
محققان میگویند که در این تکنیک تزریق کد در مراحل اولیه بارگذاری پردازش و قبل از اینکه بسیاری از نرمافزارهای امنیتی اقدامات لازم را اتخاذ کنند، کد مخرب تزریق میگردد. این مسئله به بدافزار اجازه میدهد بدون شناسایی شدن اعمال مخربش را انجام دهد.
تکنیک به کار رفته مشابه تکنیک تزریق کد معروف به بمب اتمی است که به توابع API ساده متکی نیست و به بدافزار اجازه میدهد کد را به روشی داخل پردازش تزریق کند که نرم افزارهای ضدبدافزار نتوانند تشخیص دهند.
این کد مخرب بر مبنای توابع APC ویندوز بنا شده که به برنامهها اجازه میدهد بهصورت غیر همزمان کدی را در داخل یک نخ (thread یا نخ بخشی از یک پردازش است) اجرا کنند.
روش تزریق کد مخرب در داخل یک پردازش صحیح و قانونی به طریقی که قبل از اسکن برنامههای ضدبدافزار اجرا گردد به صورت قدم به قدم به شرح زیر است:
ایجاد یک پردازش معلق از پردازشهای صحیح ویندوز (مانند svchost.exe).
اخذ حافظه در آن پردازش (svchost.exe) و نوشتن کد مخرب در حافظه اخذ شده و قرار دادن تابع APC در صف مربوط به نخ اصلی پردازش.
بر اساس اطلاعات سایت پلیس فتا، به دلیل اینکه توابع APC تنها در حالت alertable میتوانند پردازش را اجرا کنند، تابع NtTestAlert فراخوانی میگردد تا هسته (kernel ) را مجبور کند کد مخرب را همزمان با نخ اصلی پردازش، اجرا کند. براساس تحقیقات محققان، حداقل سه بدافزار که در لیست زیر به آنان اشاره شده از کد Early Bird استفاده میکنند؛ "TurnedUp" که به وسیله یک گروه هکری ایرانی توسعه یافته، نسخههای مختلف بدافزار بانکی "Carberp" و بدافزار "DorkBot".
بدافزار DorBot یک بات نت است که از طریق شبکههای اجتماعی، نرمافزارهای پیامرسان و ابزارهای آلوده انتقال اطلاعات، منتشر شده و به منظور سرقت اطلاعات کاربران برای بهرهگیری از سرویسهای آنلاین، سرویسهای بانکی، شرکت در حملات DDOS، ارسال تبلیغات و انتقال بدافزار به سیستم قربانیان، مورد استفاده قرار میگیرد.
انتهای پیام