أثناء إجراء تحليل متعمق لعينات مختلفة من البرامج الضارة ، وجد باحثون أمنيون في Cyberbit تقنية جديدة لحقن الكود ، يطلق عليها Early Bird ، تم استخدامها من قبل ما لا يقل عن ثلاثة برامج ضارة مختلفة متطورة ساعدت المهاجمين على تجنب الكشف.
كما يوحي اسمها ، فإن Early Bird هي تقنية "بسيطة لكنها قوية" تسمح للمهاجمين بحقن شفرة خبيثة في عملية شرعية قبل بدء موضوعها الرئيسي ، وبالتالي تجنب الكشف عن طريق محركات ربط النوافذ التي تستخدمها معظم منتجات مكافحة البرامج الضارة.
في وقت مبكر من الطيور قال الباحثون تقنية حقن رمز "بتحميل الشيفرات الخبيثة في مرحلة مبكرة جدا من التهيئة موضوع، قبل العديد من المنتجات الأمنية مكانها هوكس الذي يسمح الخبيثة لأداء أعمالها الخبيثة دون أن يتم اكتشافها".
تشبه هذه التقنية تقنية حقن رمز AtomBombing التي لا تعتمد على مكالمات API سهلة الكشف ، مما يسمح للبرامج الضارة بحقن الكود في العمليات بطريقة لا يمكن لأدوات مكافحة البرامج الضارة اكتشافها.
كيف يعمل الحقن في وقت مبكر قانون الطيور
تعتمد طريقة الحقن في وقت مبكر رمز الطيور على وظيفة APC (مكالمات إجراء غير متزامن) Windows المضمنة التي تسمح للتطبيقات بتنفيذ التعليمات البرمجية بشكل غير متزامن في سياق مؤشر ترابط معين.
فيما يلي شرح موجز خطوة بخطوة حول كيفية قيام أحد المهاجمين بحقن شفرة خبيثة في عملية قانونية بطريقة يتم تنفيذها مسبقًا قبل بدء برنامج مكافحة البرامج الضارة في عملية الفحص.
- إنشاء عملية تعليق عملية Windows شرعية (على سبيل المثال ، svchost.exe)
- تخصيص الذاكرة في هذه العملية (svchost.exe) وكتابة الشفرة الضارة في منطقة الذاكرة المخصصة ،
- وضع قائمة انتظار استدعاء إجراء غير متزامن (APC) إلى مؤشر الترابط الرئيسي لهذه العملية (svchost.exe) ،
- نظرًا لأن APC يمكن تنفيذ عملية فقط عندما تكون في حالة تنبيه ، استدعاء الدالة NtTestAlert لفرض kernel في تنفيذ التعليمة البرمجية الضارة بمجرد استئناف تشغيل مؤشر الترابط الرئيسي.
وفقا للباحثين ، تم العثور على ما لا يقل عن ثلاثة من البرمجيات الخبيثة المذكورة أعلاه باستخدام حقنة Early Bird code في البرية.
- "TurnedUp" مستتر ، تم تطويره بواسطة مجموعة قرصنة إيرانية (APT33)
- أحد الأشكال من البرامج الضارة المصرفية "Carberp"
- البرامج الضارة "DorkBot"
اكتشفت في البداية شركة FireEye في سبتمبر 2017 ، وهي عبارة عن باب خلفي قادر على تفريغ البيانات من النظام المستهدف ، وإنشاء قذائف عكسية ، وأخذ لقطات الشاشة ، بالإضافة إلى جمع معلومات النظام.
يعود تاريخ " دوربوت" إلى عام 2012 ، وهو عبارة عن برمجيات خبيثة بروتنتية يتم توزيعها عبر الروابط على مواقع التواصل الاجتماعي أو تطبيقات المراسلة الفورية أو الوسائط القابلة للإزالة ، ويتم استخدامها لسرقة بيانات اعتماد المستخدمين للخدمات عبر الإنترنت ، بما في ذلك الخدمات المصرفية ، والمشاركة في رفض الخدمة الموزعة (DDoS) الهجمات ، وإرسال البريد المزعج وتقديم برامج ضارة أخرى لأجهزة الكمبيوتر الضحايا.
كما قام الباحثون بتقديم عرض فيديو ، مما يدل على أن تقنية الحقن في وقت مبكر من قانون الطيور في وقت مبكر في العمل.