استفاده از پرس‌وجوهای WMI توسط بدافزارها برای فرار از تشخیص

۶به گفته‌ی محققان FireEye، بدافزارها روز به روز بیشتر از پرس‌وجوهای ابزار مدیریت ویندوز۱ (WMI) برای فرار از تشخیص و همچنین برای تشخیص محیطی که در حال اجرا بر روی آن هستند، استفاده می‌کنند.
بهره‌برداری از WMI برای فرار از تشخیص قبلاً نیز مشاهده شده است و Mandiant نیز سال گذشته کشف کرد که گروه‌های تهدیدات مداوم پیشرفته۲ (APT) از WMI و PowerShell برای حرکت جانبی، برداشت اعتبار و جستجوی اطلاعات مفید در محیط ویندوز استفاده می‌کنند. و اینک FireEye مثال‌های ویژه‌ای را ارائه کرده که پرس‌وجوهای WMI برای مقاصد نابکار مورد استفاده قرار می‌گیرد.

از آن‌جایی که WMI تعامل سطح بالایی را با اشیای ویندوز از طریق C/C++ ،VBScript ،Jscript و C# ایجاد می‌کند، سرویس‌های WMI توسط نویسندگان بدافزار برای فرار از تشخیص و تشخیص محیط مجازی مورد بهره‌برداری قرار می‌گیرد. در واقع FireEye توضیح می‌دهد پرس‌وجوی WMI می‌تواند برنامه‌های ضدویروس را تشخیص دهد بخاطر اینکه آن‌ها در کلاس AntiVirusProduct تحت فضای نام root\SecurityCenter۲ ثبت شده‌اند.

برخی از بدافزارها در وهله‌ی اول نوع سامانه‌ی عامل را بررسی می‌کنند و اگر سامانه عامل ویندوز ویستا یا نسخه‌های قبلی باشد، به دنبال برنامه‌ی ضدویروس خواهد گشت. به محض اینکه بدافزار نوع سامانه‌ی عامل و ضدویروس را تشخیص داد، اطلاعات و سایر داده‌های کاربر را برای کارگزار خود ارسال می‌کند تا بار داده‌ی مناسب را دریافت کرده و یا از تشخیص بگریزد.

بنابه گفته‌ی FireEye، برخی بدافزارها سامانه را با تکنیک‌های مختلف و پرس‌وجوهای WMI، برای چند محصول امنیتی و برنامه‌های معروف مجازی‌سازی بررسی می‌کند. بدافزار اطلاعات BIOS را در کلاس Win۳۲_BIOS و تحت فضای نام root\cimv۲ بررسی می‌کند. FireEye می‌گوید: «هر فیلد/ستون شبیه به پرس‌وجوهای SQL قابل بازیابی است.»

محققان امنیتی همچنین برخی نمونه‌ها را پیدا کردند که از کلاس Win۳۲_ComputerSystem برای تشخیص محیط مجازی استفاده می‌کند که در نتیجه مدل آن برنامه‌ی مجازی‎سازی را برمی‌گرداند و اطلاعاتی مانند ماشین مجازی Vmware، VirtualBox و Virtual Machine را ارائه می‌کند. اگر رشته‌ی انطباقی پیدا شود، مجازی‌سازی تشخیص داده می‎شود.

برخی دیگر از بدافزارها در کنار نام فرآیندهای VMware ،Wireshark ،Fiddler و سایر محصولات امنیتی، قبل از پرس‌وجوهای WMI، از کلاس‌های Win۳۲_VideoController و Win۳۲_DiskDrive برای تشخیص استفاده می‌کنند. زمانی که پرس‌وجوی WMI در PowerShell اجرا شود مقدار زیادی از اطلاعات مربوط به Vmware را نشان می‌دهد.
خانواده‌ی بدافزاری دیگری مشاهده شده که از کلاس Win۳۲_DiskDrive، برای تشخیص VirtualBox ،Virtual Hard دیسک و VMware استفاده می‌کند. محققان امنیتی اشاره کردند: «هر زمان که یکی از این ماشین‌های مجازی تشخیص داده شود، این فرآیند خاتمه می‌یابد و از تحلیل رفتاری بدافزار جلوگیری به عمل می‌آید.»

همچنین مشاهده شده که بدافزار تنها به دنبال بررسی فرآیندی خاص در کلاس Win۳۲_Process نبوده و بلکه آن فرآیند را می‌کُشد. یک برنامه‌ی کاربردی که توسط کد مخرب هدف قرار گرفته است، اشکال‌یاب شناخته‌شده‌ی Immunity است که بنا به گفته‌ی FireEye «خاتمه یافته و پس از تغییر مجوزها با استفاده از شِل میزبان اسکریپت ویندوز ، پوشه‌های آن حذف شده است.»

همچنین برخی بدافزارها قصد جستجو و خاتمه دادن به فرآیندهای ضدویروس شرکت Kingsoft را دارند. برای پیدا کردن یک فرآیند، یک بدافزار معمولا از واسط‌های برنامه‌نویسی CreateToolHelp۳۲Snapshot ،Process۳۲First و Process۳۲Next استفاده می‌کند، اما نویسندگان بدافزار تصمیم به استفاده از پرس‌وجوهای WMI گرفتند که امکان جابجایی با ده‌ها خط کد را می‌دهد.

دیده شده که یک تولیدکننده‌ی کلید مایکروسافت آفیس، سرویس حفاظت از نرم‌افزار آفیس ویندوز را با استفاده از پرس‌وجوهای WMI بررسی می‌کند. اگر این سرویس در حال اجرا نباشد، بدافزار آن را شروع کرده و به شیء سرویس حفاظت از نرم‌افزار آفیس ویندوز دسترسی یافته و سپس کلید محصول آفیس را نصب خواهد کرد.

FireEye می‌گوید: «نویسندگان بدافزار همواره به دنبال روشی برای گریز از چارچوب‌های تحلیلی و جعبه شنی هستند تا اجرای بار داده را با موفقیت در محیط و بستر هدف انجام دهند. WMI روش ساده‌ای را برای تشخیص محیط ارائه می‌کند که می‌تواند برای گریز از محیط‌های تحلیل پویا و جعبه شنی مورد استفاده قرار گیرد که به نظر می‌رود این روش ساده در مهندسی معکوس و سایر انجمن‌های امنیتی دست ِ کم گرفته شده است. گام‌های کاهشی برای نظارت بر پرس‌وجوهای WMI که برای فرار از تشخیص استفاده می‌شود، باید اتخاذ شود.»


۱. Windows Management Instrumentation
۲. advanced persistent threat

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap