x

Blog

اکسپلویت RIG در خدمت تروجان Grobios

خلاصه: محققان امنیتی FireEye اخیرا متوجه فعالیت‌های مداومی شده‌اند که از اکسپلویت RIG برای توزیع تروجان Grobios استفاده می‌کنند. محققان بدافزار گفته‌اند که تروجان Grobios از چندین تکنیک جلوگیری از شناسایی، و مکانیزم‌های مختلف ثبات استفاده می‌کند، این مکانیزم‌ها برای سخت‌تر شدن لغو نصب تهدید استفاده می‌شود.

محققان امنیتی FireEye اخیرا متوجه فعالیت‌های مداومی شده‌اند که از اکسپلویت RIG برای توزیع تروجان Grobios استفاده می‌کنند.

اکسپلویت RIG اخیرا درگیر توزیع تروجان Grobios شده است. در تصویر زیر می‌توانید زنجیره‌ی آلودگی را مشاهده کنید.

RIG Exploit Kit Grobios campaign

محققان بدافزار گفته‌اند که تروجان Grobios از چندین تکنیک جلوگیری از شناسایی، و مکانیزم‌های مختلف ثبات استفاده می‌کند، این مکانیزم‌ها برای سخت‌تر شدن لغو نصب تهدید استفاده می‌شود. بدافزار تکنیک‌های زیر را برای رسیدن به ثبات پیاده‌سازی می‌کند.

  • یک کپی از خود را در فولدر %APPDATA% قرار می‌دهد. و ظاهر یک نسخه از یک برنامه‌ی قانونی نصب شده روی سیستم هدف را به خود می‌گیرد.
  • چندین کپی از خود را در زیرفولدرهای یک برنامه در مسیر %ProgramFiles%/%PROGRAMFILES(X86)% رها می‌کند، ظاهر یک نسخه‌ی متفاوت از برنامه‌ی نصب شده را به خود می‌گیرد، و کلید رجیستری Autorun را تنظیم می‌کند.
  • یک کپی از خود را در فولدر %Temp% رها می‌کند، و یک تسک برنامه‌ریزی شده برای جرای آن ایجاد می‌کند.

این بدافزار از چندین تکنیک anti-VM، anti-analysis و anti-debugging برای جلوگیری از شناسایی استفاده می‌کند.

زمانی که بررسی‌های بدافزار برای وجود VM و محیط تحلیل بدافزار انجام شد، تروجان Grobios به برای دریافت دستورات به سرور کنترل و فرمان متصل می‌شود.

هنگامی که سیستم آلوده شده، بدافزار دو تسک برنامه‌ریزی شده ایجاد می‌کند. محققان تاکید می‌کنند که بدافزار از کپی خود در فولدر %TEMP% با EFS (windos Encrypted File System) محافظت می‌کند.تحیل کد این تروجان دو سرور کنترل و فرمان مبهم‌سازی شده را نشان می‌دهد.

 

 

    

Persian English French German Russian Spanish
کلیه حقوق این سایت متعلق به مرکز تخصصی آپا دانشگاه صنعتی اصفهان می‌باشد. استفاده از مطالب تنها در صورت دریافت تاییدیه کتبی مجاز است.

تحت نظارت وف ایرانی