كشف الباحثون مؤخرًا عن حمولة جديدة من Waterbear مع إمكانية إخفاء متطورة في الشبكة من منتج أمان محدد بواسطة تقنيات ربط API.
ربط واجهة برمجة التطبيقات (API) هو أسلوب يستخدم لتعديل أو إخفاء سلوك وتدفق واجهات برمجة تطبيقات (APIs) والتدفق لتجنب اكتشاف أنشطتها في وقت التشغيل.
إذا كان المهاجم يعرف أي واجهات برمجة التطبيقات (APIs) المحددة التي يجب أن يربطها بهجومهم ، فهذا يعني أنهم على دراية بكيفية قيام بعض منتجات الأمان بجمع معلومات حول نقاط النهاية والشبكات الخاصة بعملائهم.
الباحثون متحمسون لأن هذه هي المرة الأولى التي يرى فيها Waterbear يحاول إخفاء أنشطة الباب الخلفي ، والمهاجمون على دراية ببيئة الضحية.
Waterbear Malware Behaviour
هناك بعض الأساليب المعيارية التي لوحظت أن Waterbear يستخدم في البرامج الضارة ويستخدم محمل DLL لفك تشفير الحمولة وتنفيذها.
هناك بعض المقاربات المعيارية التي تستخدمها Waterbear في برامجها الضارة وتستخدم أداة تحميل DLL لفك تشفير الحمولة وتنفيذها. وهي المرحلة الأولى من الباب الخلفي وتنقسم إلى نوعين.
يعمل النوع الأول كخادم تحكم وتحكم والنوع الثاني يستمع الى منافذ معينة.
يعتقد الباحثون أيضًا أن المهاجمين يستخدمون Waterbear كحمولة ثانوية للمساعدة في الحفاظ على الوجود بعد الحصول على بعض مستويات الوصول إلى أنظمة الأهداف.
عملية إصابة Waterbear
تبدأ عملية الإصابة بمحمل DLL المُصنَّع ، حيث يستخدم المهاجمون طريقتين مختلفتين لتشغيل محمل DLL.
واحد هو تعديل تطبيق خادم شرعي لاستيراد وتحميل محمل DLL الخبيثة.
الأسلوب الثاني هو تنفيذ اختطاف DLL الوهمية وتحميل جانب DLL.
لاحظ باحثون من Trend Micro أن محمل DLL حمّل حمولتين.
تقوم الحمولة الأولى بضخ الشفرة في منتج أمان محدد لإخفاء الباب الخلفي للحملة والثاني هو الباب الخلفي النموذجي من المرحلة الأولى لـ Waterbear ، والذي سنحاول تشريحه أولا بناء على حالة معينة لاحظناها خلال تحليلنا
تقوم الحمولة النافعة بتشفير جميع الكتل الوظيفية قبل تنفيذ الروتين الضار الفعلي لتجنب مسح الذاكرة أثناء وقت التشغيل.
ربط API
الهجوم بشكل رئيسي باستخدام تقنية ربط واجهة برمجة التطبيقات لإخفاء سلوكيات الباب الخلفي من المرحلة الأولى وهو الحمولة الثانية في هذه العملية.
تستخدم الحمولة الأولى الأخرى تقنيات ربط واجهة برمجة التطبيقات لتجنب أن يتم اكتشافها بواسطة منتج أمان معين وتقوم بتوصيل واجهة برمجة التطبيقات (API) المختلفة ( "ZwOpenProcess" و " GetExtendedTcpTable" ) لإخفاء عمليتها
فيما بعد تعديل الوظيفة في ذاكرة عملية منتج الأمان ، وبالتالي تظل ملفات DLL للنظام الأصلي على حالها.
الحمولة تتكون من كود القشرة على مرحلتين. يعثر كود القشرة في المرحلة الأولى على عملية منتج أمني محدد يحمل اسمًا مضغوطًا ويحقن كود القشرة من المرحلة الثانية في تلك العملية. قال كود تريند مايكرو: "إن كود القشرة في المرحلة الثانية ينفذ تثبيت واجهة برمجة التطبيقات داخل العملية المستهدفة