ارتقای قابلیت گریز از شناسایی در تروجان EMOTET
به گزارش کارگروه امنیت سایبربان، تروجان بانکی EMOTET، که به خانواده دریدکس (Dridex) منتسب است، بهمنظور سرقت اطلاعات بانکی استفاده میشود. این بدافزار در نسخه جدید خود تغییرات چشمگیری داشته است که مهمترین آن پیادهسازی قابلیت جدید گریز (Evasion) از شناسایی توسط سامانههای آنالیز بدافزار و جعبه شنی (Sandbox) است.
تروجان EMOTET در نسخه جدید خود، از اکسپلویت رابط برنامهنویسی CreateTimerQueueTimer بهجای RunPE استفاده میکند. این تغییر به این دلیل است که استفاده از اکسپلویت RunPE میان هکرها مرسوم شده است و نرمافزارهای امنیتی بیشتر به آن توجه دارند؛ در مقابل CreateTimerQueueTimer تاکنون، کمتر شناختهشده است.
وظیفه CreateTimerQueueTimer ایجاد صفی برای زمان بازگشت (Callback) اشیاء (Objects) است که در زمان تعیینشده عمل میکند؛ تروجان EMOTET دقیقاً از ترافیک تابع بازگشت CreateTimerQueueTimer بهمنظور جابهجایی ترافیک خود استفاده میکند. رابط برنامهنویسی CreateTimerQueueTimer به تروجان EMOTET اجازه میدهد تا در هر 0x3E8 میلیثانیه یک وظیفه (Job) را انجام دهد. با توجه به خروجی مهندسی معکوس زیر، ترافیک مخرب تروجان در 0x 0x428310 به CreateTimerQueueTimer تزریق میشود.
تروجان EMOTET، سامانههای نظارتی و امنیتی را بررسی میکند تا خود را از شناسایی و تحلیل در امان نگه دارد و اگر تشخیص دهد که در جعبه شنی قرار دارد، خود را متوقف میسازد. هنگامیکه این تروجان وارد سامانه میشود، ابتدا دسترسی خود را بررسی میکند که سطح مدیریت (Admin) باشد؛ اگر در این سطح قرار ندارد خود را در پروسهای که دارای این سطح است، اجرا میکند. بعدازاین مرحله، تروجان پایداری خود را با استفاده از تعریف سرویس تضمین میکند؛ سپس اطلاعات سامانه قربانی را گردآوری کرده و رمز میکند. تروجان EMOTET این اطلاعات رمز شده را با استفاده از POST به سرور مدیریت مرکزی (C&C) ارسال میکند.
نحوه گسترش این بدافزار بهمانند روش معمول دیگر بدافزارها و از راه حمله فیشینگ، است. این بدافزار با استفاده از لینک مخرب در ایمیل قربانیها، گسترش مییابد.
