تتحقق هذه البرامج الضارة من درجة حرارة نظامك لتجنب وضع الحماية

  • Sep 05, 2023

GravityRAT هو حصان طروادة جديد سوف يحصل على قراءات حرارية لكشف وإحباط الجهود البحثية.

GravityRAT عبارة عن حصان طروادة يقوم بفحص درجة حرارة النظام لاكتشاف وجود أجهزة افتراضية (VMs) ومنع جهود التحليل من قبل الباحثين.

حماية

  • 8 عادات للعاملين عن بعد الآمنين للغاية
  • كيفية العثور على برامج التجسس وإزالتها من هاتفك
  • أفضل خدمات VPN: كيف يمكن مقارنة أفضل 5 خدمات؟
  • كيفية معرفة ما إذا كنت متورطًا في عملية اختراق للبيانات - وماذا تفعل بعد ذلك

ومن خلال أخذ القراءات الحرارية، يحاول حصان طروادة الوصول عن بعد (RAT)، الذي أصبح يمثل تهديدًا مؤخرًا في الهند لمعرفة ما إذا كان يتم استخدام الأجهزة الافتراضية لغرض تفكيك الجهود والهندسة العكسية أم لا.

النهج ليس مضمونا، ولكن وفقا ل باحثو سيسكو تالوسيستطيع GravityRAT اكتشاف عدد من البيئات الافتراضية باستخدام هذه الطريقة.

GravityRAT هو حصان طروادة الذي لا يزال في مرحلة التطور. على مدار الـ 18 شهرًا الماضية على الأقل، كانت البرامج الضارة قيد التطوير وتم تجهيزها بـ مجموعة من الميزات بما في ذلك استخراج الملفات وإمكانيات تنفيذ الأوامر عن بعد ومكافحة VM التقنيات.

وقد استخدم ممثل التهديد الذي يقف وراء حصان طروادة أيضًا VirusTotal لأغراض الاختبار للبقاء تحت الرادار وتجنب اكتشاف برامج مكافحة الفيروسات.

تنتشر البرامج الضارة من خلال مستندات Microsoft Office Word الضارة. إذا قام ضحية محتملة بتنزيل الملف وفتحه، يُطلب منه تمكين وحدات الماكرو، ثم يتم نشر الحمولة.

تقوم الحمولة بنسخ المستند الضار وتعيين مهمة مجدولة لنظام التشغيل Windows لتنفيذ هذا الملف على أساس يومي للحفاظ على الثبات.

بمجرد أن يقوم حصان طروادة باختراق الجهاز الضحية، تتم سرقة المعلومات بما في ذلك بيانات الكمبيوتر والحساب، وUSB تتم سرقة الملفات إذا كانت هذه الأجهزة متصلة، وتسرد البرامج الضارة أيضًا جميع العمليات الجارية والمتاحة خدمات. المراقبة والتحكم في الماكينة عن بعد ممكنة أيضًا.

ومع ذلك، ربما تكون تقنيات مكافحة الأجهزة الافتراضية هي الجوانب الأكثر إثارة للاهتمام في هذه البرامج الضارة.

يقول الباحثون الأمنيون وارن ميرسر وبول راسكاجنيريس إن ميزة الكشف عن وضع الحماية يتم إجراؤها من خلال طلب Windows Management Instrumentation (WMI) لسحب درجة الحرارة الحالية للأجهزة المستهدفة.

يمكن لمثل هذه الاستعلامات إرجاع درجة حرارة وحدة المعالجة المركزية لما يصل إلى سبع مناطق حرارية، بالإضافة إلى معرف المعالج والاسم والشركة المصنعة وسرعة الساعة.

على الرغم من أنه لن تقوم كل الأجهزة بإرجاع هذه القراءة، إلا أن مستويات الحرارة يمكن أن تكشف عن احتمالية تشغيل جهاز افتراضي.

وفقًا لـ Cisco Talos، فإن هذا النوع من المراقبة غير مدعوم على Hyper-V، وVMWare Fusion، VirtualBox أو KVM أو XEN، وإذا لم تقم الأجهزة الحديثة بإرجاع قراءات الحرارة، فسوف يقوم GravityRAT بمعالجة لهم كأجهزة افتراضية.

"هذا الفحص ليس مضمونًا لأننا حددنا مضيفين فعليين لا يقومون بالإبلاغ عن درجة الحرارة، ومع ذلك، ينبغي أيضًا اعتباره اختبارًا يحدد الكثير من البيئات الافتراضية". يقول. "هذا مهم بشكل خاص نظرًا لكمية وضع الحماية وتفجير البرامج الضارة التي يتم تنفيذها داخل البيئات الافتراضية من قبل الباحثين."

سيقوم حصان طروادة أيضًا بالتحقق من الأدوات التي يستخدمها برنامج Hypervisor والمثبتة على النظام عن طريق التحقق مفاتيح التسجيل والأرقام التسلسلية لنظام BIOS وإدخالات Win32_Computer وعدد النوى الموجودة في الملف المصاب نظام.

ويقول الفريق الوطني للاستجابة لطوارئ الكمبيوتر في الهند (CERT) إن فيروس طروادة قد تم استخدامه في هجمات مستهدفة داخل البلاد.

أنظر أيضا: الصناعة: نظرة متعمقة على السبب وراء انقطاع التيار الكهربائي في أوكرانيا

تقول Cisco: "ربما لا يكون هذا الممثل هو الممثل الأكثر تقدمًا الذي رأيناه". "لكنه تمكن من البقاء تحت الرادار منذ عام 2016."

وأضاف الباحثون أن "الممثل أخذ وقته للتأكد من أنه ليس في بيئة افتراضية لتجنب التحليل". "ومع ذلك، لم يستغرقوا أي وقت على الإطلاق لمحاولة التعتيم على كود .NET الخاص بهم. كان الكود تافهًا إلى حد كبير بالنسبة للهندسة العكسية، مما يعني أن التحليل الثابت كان خيارًا سهلاً لهذه القطعة من البرامج الضارة."

ست خطوات لشبكة Wi-Fi أسرع وأفضل

التغطية السابقة وذات الصلة

  • الرجل الذي اخترق أنظمة السجن لتحرير زميل تم إرساله خلف القضبان
  • ربما يكون الموظف السابق في SunTrust Banks قد سرق 1.5 مليون سجل عميل
  • قراصنة Gold Galleon يستهدفون صناعة الشحن البحري