به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت امنیت سایبری پازتیو تکنالجیز با بررسی 36 خانواده از بدافزارهای فعال طی 10 سال اخیر به این نتیجه رسیدند که بسیاری از آنها با برخورداری از قابلیت شناسایی و دورزدن ابزارهای مجازیسازی و سندباکسها در عملیات جاسوسی بهکاررفتهاند.
طی این مدت مهاجمان اغلب سعی کردهاند همزمان از چندین متد استفاده کنند. زمانی که برخی روشها از سوی سندباکس شناسایی شدهاند، بدافزارها با تعیین اینکه چه چیزی در محیط مجازیسازی اجرا میشود بهموقع فعالیت خود را متوقف و یا آغاز کردهاند.
کارشناسان با بررسی تغییرات ایجادشده در متدهای دورزدن سندباکسها و ابزارهای تجزیهوتحلیل اعلام کردند بسیاری از بدافزارها در سالهای مختلف از قابلیتها و ابزارهای متنوعی بهره بردهاند. مهاجمان در اکثر موارد با ارسال درخواستهای WMI سندباکسها را دور زدهاند.
تجزیهوتحلیل پازتیو تکنالجیز نشان میدهد یکچهارم از برنامههای مخرب در سالهای 2019 و 2020 دستکم توسط 23 گروه APT در عملیاتهای مختلف و 69% از بدافزارهای دورزن سندباکس در عملیات جاسوسی مورداستفاده قرارگرفتهاند.
براساس تحقیقات انجام شده، 56% از بدافزارهای دسترسی از راه دور و 14% از بدافزارهای دانلودر قابلیت دورزدن سندباکس و شناسایی ابزارهای تجزیهوتحلیل را دارند.
الِکسِی ویشنیاکوف، رئیس بخش شناسایی بدافزار شرکت پازتیو تکنالجیز در این خصوص اعلام کرد:
طی سالهای اخیر توسعهدهندگان بدافزارهای مخرب به طرز خاصی فعالیتهای خود را از دید آنالایزرهای کد مخفی نگه میدارند. مهاجمان سعی میکنند بهدقت قابلیتهای مخرب را از متخصصان امنیتی مخفی نگهداشته و احتمال شناسایی بدافزار از روی نشانههای رایج هک را تقلیل دهند. بهاینترتیب ابزارهای حفاظتی کلاسیک ممکن است از پس شناسایی برنامههای مخرب برنیایند. توصیه میکنیم جهت شناسایی نسخههای جدید برنامههای مخرب رفتار فایل در محیط مجازی امن تجزیهوتحلیل شود.
