مقدمه:

بدافزار LockPoS مربوط به پایانه های فروشگاهی است که در سال 2017 شناسایی شده و اطلاعات کارت های بانکی را از طریق حافظه رایانه به سرقت می برد. در حال حاضر این بدافزار از یک روش تزریق جدید استفاده می کندکه قادر است کنترل های ضدبدافزار را کنار گذاشته و امکان شناسایی آن را کاهش دهد.

متن خبر:

بنا بر اظهارات تحلیل‌گر امنیتی Cyberbit، بدافزار LockPoS از سه تابع اصلی با نام های NtCreateSection، NtMapViewOfSection و NtCreateThreadEx استفاده می کند که همگی آن ها از طریق فایل کتابخانه ای ویندوزی ntdll.dll برای تزریق کد مخرب به پروسس راه دور شروع به کار می کنند. این تکنیک مشابه با بدافزار پایانه فروشگاهی Flokibot عمل می کند که از شبکه بات نتی یکسانی برای توزیع استفاده می کند با این تفاوت که از فراخوانی های API متفاوتی برای تزریق استفاده می‌کند.

در تکنیک ارائه شده، یک شی section جدید درون کرنل با استفاده از تابع NtCreateSection ایجاد می کند و تابع NtMapViewOfSection را برای نگاشت یک نما از section درون پروسس دیگر فراخوانی می کند که با کپی کد درون آن section و با ایجاد یک thread راه دور و با استفاده از تابع NtCreateThreadEx یا CreateRemoteThread  کد نگاشت شده را اجرا می کند.

این روش جدید تزریق بدافزار، روال جدیدی را پیشنهاد می کند و از روال های قدیمی با روش جدید استفاده می کند که موجب می شود شناسایی بدافزار مشکل گردد. بسیاری از محصولات نسل جدید ضدبدافزار، توابع ویندوزی را در حالت کاربری نظارت می کنند اما در ویندوز 10 فضای کرنل محافظت شده است و لذا توابع کرنل قابلیت نظارت ندارند.

- منبع:

https://www.scmagazine.com/lockpos-malware-adopts-injection-technique-to-evade-detection/article/735425/