تروجان Nymaim با کشف آدرس مک سامانه، محیط‌های مجازی‌ را دور می‌زند

محققان امنینی هشدار دادند که تروجان Nymaim از آدرس مک دستگاه اثرانگشت‌ می‌گیرد تا تشخیص دهد آیا بر روی یک محیط مجازی اجرا می‌شود یا خیر.

این تروجان معمولاً برای بارگیری بدافزارهای دیگر بر روی ماشین قربانی بکار می‌رود و اخیراً نیز مشاهده شده که با برخی از پویش‌های باج‌افزاری در ارتباط است. اینک این تروجان آدرس مک دستگاه آلوده را با فهرستی هارکدشده مقایسه می‌کند. این قابلیت به تروجان این امکان را می‌دهد تا از انجام عملیات در محیط‌های مجازی و تحت ابزارهای تحلیل بدافزار اجتناب کند.

هرچند که با این رویکرد، تروجان برخی از هدف‌های خود را از دست می‌دهد ولی از افتادن در دام جعبه شنی و تحلیل نیز فرار می‌کند. این رفتار در نمونه بدافزارها و پویش‌هایی مشاهده شده که کاربران آلمانی زبان را هدف قرار داده بود.

تروجان Nymaim یک بارگیری‌کننده است که اولین بار در سال ۲۰۱۳ مورد بررسی قرار گرفت و در ادامه با تروجان بانکی Gozi ترکیب شد و بدافزار جدید نام GozNym را تشکیل داد. ولی محققان کشف کردند، نسخه‌ی اصلی و اولیه این بدافزار برای تحویل گونه‌های مختلفی از تهدیدات مورد استفاده قرار می‌گیرد.

این بدافزار فهرستی از بررسی‌ها دارد که اگر مطابقتی در این بررسی‌ها مشاهده شد، این تروجان عملیات خود را متوقف خواهد کرد. علاوه بر بررسی آدرس مک، این بدافزار تاریخ جاری را با تاریخ انقضای هارکدشده مقایسه می‌کند. همچنین مقایسه‌ای بین نام ِ کاربری ِ درهم‌سازی‌شده و یک فهرست سیاه از درهم‌سازی نام‌های کاربری انجام می‌دهد. این بدافزار بررسی هم بر روی مقدار درهم‌سازی نام پرونده‌ها با یک فهرست سیاه از نام پرونده‌ها انجام می‌دهد.

علاوه بر این‌ها، مشاهده شده که بدافزار از مجموعه متغیرهای محیطی مقدار درهم‌سازی محاسبه کرده و آن را با یک فهرست هارکدشده مقایسه می‌کند. اگر مطابقتی پیدا شد، بدافزار از سایر بررسی‌ها صرف‌نظر می‌کند. محققان امنیتی معتقدند با این روش نویسنده‌ی بدافزار قادر خواهد بود هرچه سریع‌تر مراحل عیب‌یابی را انجام دهد.

مشاهده شده تروجان Nymaim نسخه‌ی BIOS سامانه و ویدئو را از رجیستری رایانه پرس‌وجو می‌کند و بررسی می‌کند که آیا حاوی VBOX یا VirtualBox هستند یا خیر.
این تروجان بجای استفاده از رشته‌های معمولی از یک الگوریتم درهم‌سازی مخصوص استفاده می‌کند زیرا نگهداری مقدار درهم‌سازی‌شده نسبت به رشته‌های واقعی فضای کمتری را اشغال کرده و ذخیره‌سازی آن در پرونده‌ها کمتر مشهود است. این کار انجام تحلیل را نیز مشکل‌تر می‌کند چرا که کارشناسان امنیتی باید بر روی این مقدار درهم‌سازی‌شده جستجوی فراگیر انجام دهند تا بتوانند متوجه شوند چه چیزی در پرونده ذخیره شده است.

برای استخراج آدرس مک، این بدافزار API مربوط به UuidCreateSequential را فراخوانی می‌کند. این API براساس زمان جاری و آدرس مک ماشین یک شناسه‌ی منحصربفرد جهانی (UUID) را تولید می‌کند. با بررسی ۳ بایت اول از آدرس مک، بدافزار می‌تواند شرکت سازنده‌ی کارت شبکه را شناسایی کرده و متوجه شود که بر روی یک زیرساخت مجازی‌سازی اجرا می‌شود.

همچنین مشاهده شده تروجان Nymaim از پرونده‌های اجرایی با پسوند .com استفاده می‌کند که قالب پرونده‌های اجرایی در MS-DOS است. هرچند که این بدافزار از این قالب استفاده‌ای نمی‌کند و صرفاً از آن برای دور زدن ابزارهای ضدبدافزار مبتنی بر پسوند پرونده استفاده کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.