به گفته‌ی محققان ترندمیکرو، نسخه‌ی جدید Cerber به مؤلفه‌های کوچک جداگانه‌ای تقسیم شده که هریک از آن‌ها مؤلفه‌ای بی‌ضرر به‌نظر می‌رسد و در عین حال می‌توانند ابزارهای تشخیص بدافزار مبتنی بر یادگیری ماشین را دور بزنند.

در هر نسخه‌ی جدید از بدافزار، قابلیت‌های جدیدی به آن اضافه شده و تلاش می‌کند روش‌های تشخیصی را دور بزند. درحقیقت اگر اهداف مخرب این باج‌افزار را نادیده بگیریم، ابتکاری که آن‌ها در ویژگی‌های جدید این باج‌افزار به خرج داده‌اند قابل تحسین است. در نسخه‌ی جدید باج‌افزار Cerber هر مرحله از آن در یک پرونده‌ی جداگانه قرار گرفته و در حین اجرا در داخل یک فرآیند تزریق می‌شوند و این موضوع به باج‌افزار این امکان را می‌دهد تا از دید سامانه‌های تشخیص بدافزار پنهان بماند.

این باج‌افزار چگونه کار می‌کند؟
باج‌افزار Cerber مانند نسخه‌های قبلی، از طریق یک رایانامه که به یک پرونده‌ی آرشیوی بر روی حساب دراپ‌باکس پیوند خورده، توزیع می‌شود. این حساب دراپ‌باکس تحت کنترل نفوذگران است. در این پرونده‌ی آرشیوی، ۳ پرونده‌ی مجزا وجود دارد. یکی از آن‌ها یک اسکریپت ویژوال بیسیک است، دومی یک DDL و سومی نیز یک پرونده‌ی باینری است. اسکریپت، پرونده‌ی DLL را بارگذاری کرده و DLL نیز از پرونده‌ی باینری خوانده و آن را اجرا می‌کند. پس از اینکه باج‌افزار بر روی سامانه‌ی قربانی مستقر شد، اجرا شدن در محیط جعبه شنی را بررسی می‌کند. اگر اجرا در محیط جعبه شنی نباشد، باج‌افزار Cerber پرونده‌ی باینری خود را داخل یکی از پردازه‌های در حال اجرا تزریق می‌کند.

در مشاوره‌نامه‌ی ترندمیکرو می‌خوانیم: «این روش فرار از تشخیص نمی‌تواند به‌طور مناسب در برابر روش‌های ضدبدافزاری چند لایه‌ای عمل کند. باج‌افزار Cerber نیز در برابر سایر روش‌ها دارای نقاط ضعف است. به‌عنوان مثال وجود یک پرونده‌ی DLL بسته‌بندی‌نشده و یا یک پرونده‌ی آرشیوی بسیار مشکوک است. روش‌های تشخیص که از تکنیک‌های مختلفی بهره می‌برند و تنها به روش‌های یادگیری ماشین متکی نیستند، هنوز هم می‌توانند از کاربران در برابر چنین تهدیداتی محافظت کنند.»

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

نسخه‌ی جدید باج‌افزار Cerber روش‌های یادگیری ماشین را دور می‌زند

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *