نماد سایت اتاق خبر شبکه گستر

متداول‌ترین تکنیک‌های بدافزارها در سه‌ماهه سوم سال 2024

چارچوب MITRE ATT&CK، رفتار مهاجمان را در تاکتیک‌ها، تکنیک‌ها و رویه‌هایی (Tactics, Techniques, and Procedures – TTP) مشخص دسته‌بندی می‌کند. هدف آن، ایجاد زبانی مشترک و کمک به تحلیلگران برای شناسایی، ارزیابی و پاسخ‌دهی به تهدیدات سایبری است.

سایت ANY.RUN که یکی از سامانه‌های برخط پرطرفدار تحلیل بدافزار است فهرستی از رایج‌ترین تکنیک‌های مورداستفاده بدافزارها را در سه ماهه سوم سال میلادی جاری منتشر کرده که در ادامه این مطلب به 5 مورد اول آنها پرداخته شده است.

 

 

Impair Defenses: Disable Windows Event Logging – T1562.002

مختل کردن ثبت رویدادها (Event) در سیستم عامل Windows، مهاجمان را قادر می‌کند تا از ذخیره سوابق در خصوص اقدامات مخرب خود بر روی سیستم قربانی جلوگیری کنند. بدون ثبت رویدادها، جزئیات مهمی مانند تلاش‌های ورود به سیستم، تغییرات فایل و تغییرات سیستمی نگهداری نمی‌شود که این امر موجب می‌شود راهکارهای امنیتی و تحلیلگران با داده‌های ناقص یا حذف‌شده روبه‌رو شوند.

فرایند ثبت رویدادهای Windows می‌تواند به روش‌های مختلفی دچار اختلال شود؛ برای مثال، از طریق تغییر کلیدهای Registry یا استفاده از دستوراتی مانند “net stop eventlog”. دست‌درازی به Group Policy نیز یک روش معمول دیگر است.

از آنجا که بسیاری از سازوکارهای امنیتی برای کشف فعالیت‌های مشکوک به تحلیل گزارش‌ها وابسته هستند، بکارگیری این روش می‌تواند منجر به فعال ماندن طولانی‌مدت‌تر بدافزار بدون ایجاد حساسیت شود.

 

Command and Scripting Interpreter: PowerShell – T1059.001

PowerShell یک زبان اسکریپت‌نویسی و شل خط‌فرمان با قابلیت‌های متعدد است که در نسخه‌های جدیدتر Windows به صورت پیش‌فرض وجود دارد. مهاجمان از این ابزار معتبر، جهت اجرای انجام انواع مختلف فرامین مخرب استفاده می‌کنند؛ از جمله دستکاری تنظیمات سیستم، استخراج داده‌ها و ایجاد دسترسی دائمی به ماشین‌های آلوده‌شده.

 

Command and Scripting Interpreter: Windows Command Shell, T1059.003

مهاجمان از ابزار چندمنظوره cmd.exe برای انجام اموری همچون مدیریت فایل‌ها و اجرای اسکریپت‌ها سوءاستفاده می‌کنند.

از آنجا که cmd.exe یک ابزار معتبر و پرکاربرد است، فرامین مخرب اجرا‌شده توسط آن می‌توانند با فرامین معتبر ترکیب شوند و شناسایی و واکنش به تهدیدات را برای محصولات و سامانه‌های امنیتی دشوارتر کنند. به عبارت دیگر، استفاده گسترده از آن توسط راهبران، آن را به یک انتخاب جذاب برای پنهان‌سازی اقدامات مخرب تبدیل کرده است.

ضمن آن که مهاجمان می‌توانند از تکنیک‌های پنهان‌سازی در فرامین فراخوانی‌شده در cmd برای فریب سازوکارهای شناسایی استفاده کنند.

 

Masquerading: Rename System Utilities, T1036.003

مهاجمان ابزارهای سیستمی معتبر را تغییر نام می‌دهند تا از محصولات امنیتی که مربوط به استفاده از آن ابزارها هستند، عبور کنند. مکانیسم‌های نظارت و کنترل امنیتی برای ابزارهای سیستمی وجود دارد که مهاجمان قادر به سوءاستفاده از آنها هستند. ممکن است با تغییر نام ابزار، قبل از استفاده (مثلاً تغییر نام rundll32.exe) امکان دور زدن این مکانیسم‌های امنیتی وجود داشته باشد. در حالت دیگر، زمانی که یک ابزار معتبر کپی یا جابه‌جا می‌شود و به دایرکتوری دیگری منتقل شده، تغییر نام داده می‌شود. ممکن است از این روش برای اجتناب از شناسایی بر اساس اجرای ابزارهای سیستمی از مسیرهای غیراستاندارد استفاده شود.

 

Virtualization/Sandbox Evasion: Time Based Evasion – T1497.003

فرار مبتنی بر زمان، تکنیکی است که بدافزارها برای جلوگیری از شناسایی توسط محصولات امنیتی که به استفاده از سندباکس وابسته هستند، به کار می‌برند. بسیاری از سندباکس‌ها دوره‌های نظارتی محدودی دارند که معمولاً فقط چند دقیقه طول می‌کشند. با به تأخیر انداختن اجرای کد مخرب، بدافزار می‌تواند از شناسایی در این بازه زمانی اجتناب کند.

هدف دیگر این تکنیک این است که بدافزار در طول تحلیل اولیه به‌عنوان یک تهدید بی‌ضرر به نظر برسد که احتمال شناسایی آن به‌عنوان یک فعالیت مشکوک را کاهش می‌دهد. به تأخیر انداختن اجرا می‌تواند شبیه‌سازی رفتارهای اولیه بی‌خطر را برای ابزارهای تحلیل رفتاری دشوارتر کند و از هم‌زمانی رفتار اولیه بی‌خطر با فعالیت‌های مخرب بعدی جلوگیری کند.

بدافزارها معمولاً برای تکمیل فرایند آلوده‌سازی به چندین جزء یا فایل نیاز دارند. تأخیرها می‌توانند به هم‌زمانی اجرای بخش‌های مختلف بدافزار کمک کنند. به‌عنوان مثال، اگر بدافزار نیاز به دانلود اجزای اضافی از یک سرور راه دور داشته باشد، تأخیر می‌تواند تضمین کند که این اجزا به‌طور کامل دانلود شده و آماده اجرا قبل از اینکه کد اصلی مخرب اجرا شود، خواهند بود.

مشروح گزارش سایت ANY.RUN در لینک زیر قابل مطالعه است:

https://any.run/cybersecurity-blog/malware-trends-report-q3-2024

خروج از نسخه موبایل