IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

بدافزار مخفی در حافظه: تهدیدی جدید برای ویندوز

محققان امنیتی یک بدافزار پیشرفته را کشف کرده‌اند که با خراب کردن عمدی هدرهای DOS و PE، هفته‌ها در حافظه سیستم‌های ویندوزی مخفی می‌ماند. این تروجان دسترسی از راه دور (RAT)، که در فرآیند dllhost.exe جاسازی شده، از تکنیک‌های پیچیده‌ای برای فرار از تشخیص آنتی‌ویروس‌ها استفاده می‌کند. این تهدید، که در یک بررسی اخیر توسط Fortinet شناسایی شد، قابلیت‌های گسترده‌ای برای سرقت داده‌ها، کنترل سیستم و ارتباطات رمزنگاری‌شده با سرورهای فرمان و کنترل (C2) دارد.

جزئیات بدافزار چیست؟

• نوع تهدید: تروجان دسترسی از راه دور (Remote Access Trojan - RAT)

• قابلیت‌ها: ضبط تصاویر صفحه، سرقت داده‌ها (مانند اطلاعات ورود و فایل‌ها)، کنترل سرویس‌های ویندوز از طریق APIهای Service Control Manager، ارتباطات رمزنگاری‌شده با سرور C2.

• شدت خطر: بالا (به دلیل مخفی ماندن طولانی‌مدت و قابلیت‌های چندمنظوره).

• تأثیر: دسترسی غیرمجاز، سرقت داده‌های حساس، اجرای دستورات از راه دور و امکان استقرار بدافزارهای دیگر.

• روش انتشار: اسکریپت‌های Batch و PowerShell، که احتمالاً از طریق ایمیل‌های فیشینگ یا دانلودهای مخرب توزیع می‌شوند.

چگونه این بدافزار عمل می‌کند؟

این بدافزار از تکنیک‌های پیشرفته‌ای برای مخفی ماندن استفاده می‌کند:

1. خراب کردن هدرهای PE و DOS: با دستکاری هدرهای فایل اجرایی، تحلیل فورنزیک را دشوار کرده و از تشخیص توسط آنتی‌ویروس‌های سنتی جلوگیری می‌کند.

2. اجرای در حافظه: بدافزار در فرآیند dllhost.exe (با PID 8200) اجرا شده و از حافظه سیستم برای عملیات خود استفاده می‌کند، که ردیابی را سخت‌تر می‌کند.

3. ارتباطات رمزنگاری‌شده: از APIهای امنیتی ویندوز مانند SealMessage() و DecryptMessage() برای رمزنگاری ارتباطات با سرور C2 استفاده می‌کند، که تشخیص شبکه‌ای را دشوار می‌سازد.

4. تحلیل دستی دشوار: نقطه ورود بدافزار (در آدرس 0x1C3EEFEE0A8) با دستوراتی مانند “sub rsp, 28h” و عملیات XOR برای حل آدرس‌های API پنهان شده است.

5. کنترل سیستم: قابلیت دستکاری سرویس‌ها، اجرای دستورات و سرقت داده‌ها را از طریق سرورهای C2 فراهم می‌کند.
   این بدافزار در یک دامپ حافظه 33 گیگابایتی کشف شد، که نشان‌دهنده توانایی آن برای فعالیت طولانی‌مدت بدون جلب توجه است.

وضعیت بهره‌برداری

تا ۳۰ می ۲۰۲۵، این بدافزار در چندین سیستم ویندوزی شناسایی شده، اما شواهد بهره‌برداری گسترده هنوز محدود است. بااین‌حال، طراحی پیچیده و توانایی مخفی ماندن برای هفته‌ها، خطر سوءاستفاده در محیط‌های سازمانی را افزایش می‌دهد. این تهدید بخشی از روند روبه‌رشد بدافزارهایی است که از تکنیک‌های ضدتحلیل مانند خراب کردن هدرها استفاده می‌کنند.

اقدامات لازم برای محافظت

برای محافظت در برابر این بدافزار:

1. به‌روزرسانی آنتی‌ویروس: از آنتی‌ویروس‌های پیشرفته با قابلیت تشخیص رفتار (مانند Microsoft Defender) استفاده کنید.

2. نظارت بر فرآیندها: فرآیندهای مشکوک مانند dllhost.exe را برای فعالیت‌های غیرعادی بررسی کنید.

3. محدود کردن اسکریپت‌ها: اجرای اسکریپت‌های PowerShell و Batch را محدود کنید (مانند تنظیم حالت Constrained Language Mode).

4. آموزش کاربران: کارکنان را در برابر ایمیل‌های فیشینگ و دانلودهای مشکوک آموزش دهید.

5. نظارت بر شبکه: از سیستم‌های تشخیص نفوذ (IDS) برای شناسایی ترافیک رمزنگاری‌شده مشکوک به سرورهای C2 استفاده کنید.

6. اعمال وصله‌ها: سیستم‌های ویندوزی را با آخرین به‌روزرسانی‌های امنیتی (مانند Patch Tuesday می ۲۰۲۵) به‌روز نگه دارید.

چرا این تهدید مهم است؟

این بدافزار با ترکیب تکنیک‌های مخفی‌سازی پیشرفته و سوءاستفاده از معماری ویندوز، تهدیدی جدی برای کاربران شخصی و سازمانی است. توانایی آن در مخفی ماندن برای هفته‌ها و سرقت داده‌های حساس، می‌تواند به نقض داده‌ها، سرقت هویت یا حتی استقرار باج‌افزار منجر شود. استفاده از فرآیندهای قانونی مانند dllhost.exe و رمزنگاری ارتباطات، تشخیص را برای ابزارهای امنیتی سنتی دشوار می‌کند. این تهدید نیاز به رویکردهای امنیتی پیشرفته‌تر مانند نظارت رفتاری و تحلیل حافظه را برجسته می‌کند.