یکی از راههای مقابله با یک بدافزار و کشف نحوه عملکرد آن دسترسی به کدهای منبع و تحلیل رفتاری آن است. حال تصور کنید زبان برنامهنویسی که یک برنامه بدافزار با آن نوشته شده ناشناخته باشد؛ این سختترین روش برای شناسایی عملکرد بدافزار است که توسعه دهنده بدافزاری به نام NimzaLoader انتخاب نموده و میتواند تحلیل رفتاری آن را بسیار سخت و پیچیده کند.
بدافزارها با اهداف خاصی طراحی و ساخته میشوند که فارق از کاربردهای آموزشی و آزمون سیستمها، در بیشتر موارد کاربردهای خلافکارانه دارد. برای مقابله با این تهدیدات، شرکتهای امنیتی میتوانند از دو روش برای مبارزه و مقابله با آنها استفاده کنند که اولین روش استخراج کد منبع و روش دوم بررسی رفتاری است که به مراتب سختتر و دشوارتر از روش اول است.
در حالت اول پس از رمزگشایی فایلهای اجرایی و غیراجرایی بدافزار، تلاش میشود تا عملکرد برنامه استخراج گردد و عکسالعملی درخور، برای مقابله با آن طراحی و ارائه گردد. حال تصور کنید پس از استخراج کدهای منبع متوجه شوید که برنامه بدافزار با زبانی غیرقابل شناسایی نوشته شده که نمیتوانید آن را رمزگشایی کرده و متوجه رفتارش شوید.
مورد بالا در بررسیهای اخیر موسسه امنیتی Proofpoint از بدافزاری موسوم به NimzaLoader به دست آمده که نشان میدهد زبان برنامهنویسی این بدافزار کاملاً ناشناخته و جدید است. پیش از این نیز بدافزاری موسوم به BazarLoader با همین فرمول شناخته شده و زبان برنامهنویسی ناشناسی برای نوشتن آن به کار برده شده بود.
محققان پروف پوینت اعلام کردند که این زبان برنامه نویسی Nim نام داشته و شناسایی و تحلیل محتوای کدهای نوشته شده با آن کار دشواری است. بدافزار نیمزالودر برای انجام حملات سایبری به رایانههای مجهز به سیستم عامل ویندوز قابل استفاده است و به هکرها امکان میدهد فرامین مورد نظر خود را از راه دور بر روی رایانههای افراد قربانی اجرا کنند.
در نهایت از این طریق کنترل رایانههای هدف، سرقت اطلاعات حساس و انتقال بدافزار یادشده به دیگر رایانهها ممکن میشود. گفته میشود این بدافزار توسط یک گروه هکری به نام TA۸۰۰ نوشته شده که تا به حال صنایع متعددی را در آمریکای شمالی هدف قرار داده است.
همانطور که عنوان شد گروه یادشده قبلاً بدافزار دیگری به نام بازارلودر را نیز منتشر کرده بود که یک تروجان برای تسهیل دسترسی به رایانههای مجهز به ویندوز است و نصب باج افزارهای مختلف را ممکن میکند. توزیع هر دو بدافزار از طریق ایمیلهای فیشینگ انجام میشود. هنوز اطلاعات دقیقی در مورد دامنه تخریب این بدافزارها در دست نیست.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت