تهاجم البرامج الضارة Rombertik الجديدة محركات الأقراص الثابتة ، وتمسح MBR إذا تم اكتشافها

كاربنكراك

ربما تكون لعبة القط والفأر بين مؤلفي البرامج الضارة وقبعات الأمان البيضاء قد دخلت مرحلة جديدة هذا الأسبوع ، وذلك بفضل نظام البرامج الضارة الجديد الذي لا يحاول فقط التعتيم على عملياته - فهو يبحث بقوة عن أدلة الآخرين. يراقبون أفعالها. إذا اكتشف أنه يعمل داخل جهاز ظاهري ، فإن البرنامج الضار ، المسمى Rombertik ، سيصبح نوويًا ويحاول استبدال سجل التمهيد الرئيسي لمحرك الأقراص الثابتة المحلي.

قام فريق الاستجابة للتهديدات في Cisco بتفصيل عملية Rombertik ، كما أن تشويش البرامج الضارة ونواقل الهجوم فريدة من نوعها. وبمجرد تثبيته ، يصبح برنامجًا قياسيًا للتعرف على البيانات والذي ينتزع بشكل عشوائي المعلومات المتوفرة على جهاز كمبيوتر مصاب. ما يميز Rombertik هو الطريقة التي يتحقق بها لمعرفة ما إذا كان يعمل في وضع الحماية الذي يوفره VM ، والإجراءات التي يتخذها إذا وجد نفسه في مثل هذا الوضع.



تدفق التسوية

اضغط للتكبير



يوضح الرسم البياني أعلاه كيفية عمل البرامج الضارة وماذا تفعل. يحتوي Rombertik على قدر كبير من المعلومات المصممة لجعلها تبدو حقيقية ؛ تقدر Cisco أن 97٪ من الملف المضغوط مخصص للصور والوظائف التي لا تستخدمها البرامج الضارة الفعلية مطلقًا. بمجرد بدء التشغيل ، يبدأ الملف التنفيذي بكتابة 960 مليون بايت عشوائي في الذاكرة. لا يقدم هذا أي وظيفة مفيدة ، ولكنه يضمن أن أي تطبيق يحاول تتبع نشاط البرامج الضارة سيغمره 100 جيجابايت + من ملفات السجل.

بعد إكمال هذه المهمة ، يقوم Rombertik بإجراء بعض استدعاءات الوظائف غير الصالحة للتحقق من وجود أخطاء معينة (إنه يبحث عن خطأ قد يمنعه الجهاز الظاهري عادةً). بمجرد أن تقرر ذلك ليس كذلك يعمل البرنامج الضار داخل وضع الحماية ، ويبدأ في تفريغ نفسه. تم تعتيم الشفرة عمدًا بالعشرات من الوظائف والقفزات والانتفاخ غير الضروري (لكن التشويش).



تدفقات التحكم

الشيكات الأمنية على اليمين ، الرمز الأساسي على اليسار. اضغط للتكبير

تُظهر خريطة التعقيد هذه الكود المضاد للتحليل على اليمين ، والملف التنفيذي على اليسار. في حين أن الشفرة المضادة للتحليل قد تبدو أكثر صعوبة ، إلا أنها في الواقع مخطط انسيابي بسيط نسبيًا مع عدد كبير من التكرارات. على النقيض من ذلك ، فإن الرسم البياني الأيسر عبارة عن فوضى من كتل الوظائف والشيكات ومئات العقد - وكلها تهدف إلى منع المحللين من قراءة ما هو مكتوب.

في نهاية هذه العملية ، يحسب Rombertik تجزئة 32 بت ، ويقارنها بعينة غير معبأة ، وإذا اكتشف أنه يعمل في جهاز افتراضي ، يعلن فورًا الحرب ضد سجل التمهيد الرئيسي لمحرك الأقراص الثابتة. إذا لم يتمكن من الوصول إلى MBR والكتابة فوقه ، فإنه يقوم بتشفير جميع الملفات داخل مجلد C: Documents and Settings Administrator باستخدام مفتاح RC4. إذا كان بإمكانه وضع يده على MBR ، فإنه يقوم بالكتابة فوق بيانات القسم ببايت فارغ ، مما يجعل من الصعب للغاية استعادة محرك الأقراص.



إذن من كتب رومبرتيك؟

الشيء الغريب في Rombertik هو أنه يجمع بين عناصر البرامج الضارة الكلاسيكية - محاولة تصيد أولية مكتوبة بشكل سيئ والتقاط بيانات قياسية من جلسات المتصفح - مع بعض أساليب مكافحة الاكتشاف من الدرجة الأولى تمامًا وجحيم الخطاف الصحيح إذا تم اكتشافه. لقد بذل مؤلفو Rombertik جهودًا هائلة لضمان وصول الفيروس إلى الهدف ويمكنه أداء أعماله. ولكن هذا هو نوع أسلوب التشويش الذي نتوقع رؤيته في منتجات الجهات الحكومية - إن لم يكن حكومتنا ، ثم شخص آخر.

لا أحد يتحدث عن أي نوع من مبادرة حكومية تعلق على Rombertik. بطريقة ما ، هذا في الواقع أكثر إثارة للقلق - حصان طروادة هذا المجمع الذي تم تصميمه من قبل الجهات الحكومية أمر مقلق في البداية ، ولكن تصبح هذه التقنيات سائدة أسوأ تقريبًا. تحتوي مشاركة مدونة Cisco على مزيد من التفاصيل حول البرامج الضارة ووظائفها - اعطها قراءة إذا كنت تريد إلقاء نظرة خاطفة على أحد أكثر مشاريع البرامج الضارة إثارة للإعجاب حتى الآن.

Copyright © كل الحقوق محفوظة | 2007es.com