بد افزار پیشرفته Badiless چگونه عمل می کند ؟
بد افزار پیشرفته Badiless چگونه عمل می کند ؟
Badiless یکی از بدافزارهای بسیار خطرناک است ، متداولترین راهی که بدافزار از طریق آن به آلودگی یک سیستم می پردازد با استفاده از اکسپلویت هایی است که در یک ریسورس مخرب وجود دارد . ریسورس ها ممکن است با هدف های مخرب یا با یک سایت رسمی به خطر افتاده باشند .
با صرف نظر از هدف نهایی حمله ، اکسپلویت هاست توسط تزریق یک کد به یک فرایند در حال اجرا بر روی دستگاه آغاز می شود ، در این حین اجزای بدافزار دانلود شده و به طور مستقیم و بدون اینکه هیچ تماسی با سیستم فایل داشته باشد در حافظه دستگاه راه اندازی می شود . هنگاهی که درایو آلوده شد دیگر هیچ کاری از دست کاربر ساخته نیست ، مگر اینکه راهکارهای امنیتی کاربر با استفاده از مکانیزم های پیشرفته آن را تشخیص دهد . البته این بدافزار بسیار قوی است و عموما هیچ گونه نشانه ای از خود و از آن عملیاتی که در حال انجام آن است به جای نمی گذارد .
اتفاقی که در مرحله بعد رخ می دهد کمی متفاوت تر است . اگر آلودگی سیستم هدف نهایی باشد ، بدافزار اقدامات برنامه ریزی شده را عملی می کند و با یک ریبوت مجدد تمام اثرات خود را از بین می برد . سپس ممکن است نقشه به گونه ای باشد که نیاز به رفتن به زیرساخت های عمیق تر باشد که شامل دسترسی به دستگاه های مختلف و داده ها است .یکی از روش های رایج با استفاده از آسیب پذیری ها ، اجرای کدهای خاص از راه دور RCE است که سیستم آسیب پذیر به بدافزار اجازه می دهد تا به طور افقی به حرکت درآید یا که به عنوان مثال پس از عملیات موفق بدافزار می تواند با استفاده از فرمان کنترل از راه دور powershell
به اجرای RCE برای تصدیق رسمی بودن روش بپردازد .
لینک های مخرب توسط این بدافزار به زیرساخت های شرکت ها روانه می شوند و مهاجمان با استفاده از هر راهی قربانیان را به URL های مخرب هدایت می کنند . اولین مقابله در برابر این بدافزار جلوگیری از بازکردن این گونه ریسورس ها می باشد
پیشگیری خودکار از اکسپلویت : در میان بسیاری از لایه های امنیتی دیگر Kaspersky Endpoint security و
Kaspersky security for virtualization l light Agent شامل یک لایه امنیتی پیشرفته با نام سیستم ناظر است که دقیقا همان چیزی است که الگوهای مشکوک را از فعالیت برنامه های در حال اجرا تشخیص می دهد . به عنوان مثال یک مرورگر وب تلاش می کند تا روندی عجیب را به سیستم تزریق کند . قرارگیری چند اقدام مشکوک باعث می شود تا سیستم ناظر به عنوان یک مدافع عمل کند و در صورت لزوم از اقدام آن جلوگیری به عمل آورد.
