بات نت

بررسی وضوح صفحه نمایش، قابلیت جدید TrickBot

نسخه جدید بدافزار معروف TrickBot برای اطمینان از اجرا نشدن در بسترهای مجازی اقدام به بررسی وضوح صفحه نمایش (Screen Resolution) قربانی می‌کند.

تحلیلگران بدافزار معمولاً با بهره‌گیری از ابزارهای مختلف، فایل‌های مشکوک را در بسترهای مجازی مورد بررسی قرار می‌دهند. به همین خاطر بدافزارهای پیشرفته مجهز به قابلیت موسوم به ضدماشین‌مجازی (Anti-VM) تلاش می‌کنند تا با روش‌هایی همچون جستجوی پروسه‌های خاص، سرویس‌های سیستم عامل، نام ماشین، نشانی MAC و مشخصه‌های CPU از اجرا شدن و افشای عملکرد خود در بستر مورد استفاده تحلیلگران بدافزار یا سیستم‌های معروف به سندباکس خودداری کنند.

اکنون محققان اعلام کرده‌اند که بررسی میزان وضوح صفحه نمایش دستگاه قربانی به‌عنوان یک روش جدید برای شناسایی بسترهای مجازی به فهرست قابلیت‌های TrickBot افزوده شده است. بدین‌ترتیب که در صورتی که وضوح 800×600 یا 1024×768 باشد TrickBot اجرای خود را متوقف می‌کند.

TrickBot Anti-VM

به گزارش شرکت مهندسی شبکه گستر، در حالت عادی به‌منظور افزایش امکانات ماشین مجازی نظیر وضوح تصویر بالاتر و کنترل بیشتر بر روی موشواره، لازم است که ابزاری موسوم به Guest Software بر روی ماشین نصب شود. اما از آنجا که نصب این ابزار سبب ایجاد کلیدهایی در محضرخانه (Registry) و اجرای پروسه‌هایی می‌شود که وجود آنها به سبب برخی تکنیک‌های ضدماشین‌مجازی بدافزارها موجب از کار افتادن بدافزار می‌شود محققان نیز از نصب آن خودداری می‌کنند. بنابراین وضوح صفحه بر روی اکثر ماشین‌های مجازی مورد استفاده تحلیلگران بدافزار 800×600 یا 1024×768 است.

TrickBot که در ابتدا در نقش یک اسب تروای بانکی ظهور کرد دائماً در حال تکامل قابلیت‌های مخرب خود بوده است.

از جمله این قابلیت‌ها می‌توان به انتشار در سطح شبکه و سرقت اطلاعات اصالت‌سنجی ذخیره شده در مرورگرها، بانک‌های داده سرویس‌های Active Directory، کوکی‌ها، کلیدهای OpenSSH، اطلاعات اصالت‌سنجی RDP، رمز عبور VNC و اطلاعات اصالت‌سنجی PuTTY اشاره کرد.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *