ايتنا - بدافزاری که دمای سیستم شما را چک می کند تا Sandboxing را دور بزند

محققان به تازگی اعلام کردند موفق به کشف تروجان جدیدی به نام GravityRAT شده‌اند که با اطلاع از دمای سیستم، وجود ماشین‌های مجازی (VMها) را شناسایی نموده و عملکرد آنها را بی‌اثر می‌کند.

به گزارش سرویس اخبار تکنولوژی از رایورز به نقل از zdnet، این بدافزار در اجرای هدف خود 100 درصد موفق نیست، اما به گفته پژوهشگران Cisco Talos، GravityRAT قادر است برخی از محیط‌های مجازی که از این روش استفاده می‌کنند را شناسایی نماید.
گفته شده GravityRAT تروجانی است که هنوز در مرحله تکامل است. طی 18 ماه گذشته، این بدافزار در حال توسعه بوده و به چند قابلیت از جمله file exfiltration، قابلیت‌های اجرای فرمان از راه دور و تکنیک‌های ضد VM مجهز شده است.

عامل سازنده این تروجان از VirusTotal برای تست استفاده نموده تا زیر رادار مانده و توسط آنتی‌ویروس شناسایی نشود.
این بدافزار از طریق اسناد آلوده Word مایکروسافت گسترش می‌یابد. در صورتی که کاربر این فایل را دانلود و باز کند، از وی خواسته می‌شود که ماکروها را فعال نموده و سپس یک پیلود پیاده‌سازی می‌شود.

این پیلود، سند آلوده را کپی نموده و تسک زمان‌بندی شده ویندوز را جهت اجرای این فایل به طور روزانه و به منظور بقای خود تنظیم می‌کند.

هنگامی که این تروجان، موفق به دستکاری دستگاه کاربر شد، اطلاعات شامل داده‌های حساب و PC ربوده می‌شود. فایل‌های USB در صورت متصل بودن دستگاه ربوده می‌شود و بدافزار همچنین کلیه فرایندهای در حال اجرا و سرویس‌های در دسترس را لیست می‌کند. نظارت و کنترل دستگاه از راه دور نیز امکان‌پذیر است.

با این حال، تکنیک‌های ضد VM احتمالاً جالب‌ترین جنبه‌های این بدافزار هستند.
دو پژوهشگر به نام‌های Warren Mercer و Paul Rascagneres می‌گویند که قابلیت تشخیص سندباکس آن از طریق یک درخواست ابزار مدیریتی ویندوز (WMI) محقق می‌شود تا دمای جاری سخت‌افزار هدف را به دست آورد.
چنین جست‌وجوهایی ممکن است به اطلاع از دمای CPU تا هفت منطقه حرارتی و نیز ID، نام، تولیدکننده و سرعت کلاک پردازنده منتج شود. با اینکه هر ماشینی این اطلاعات را نمی‌دهد، ولی سطوح حرارتی می‌توانند نشانگر احتمال فعالیت یک VM باشند.

این تروجان همچنین، با چک کردن کلیدهای رجیستری، شماره سریال BIOS، ورودی‌های Win32_Computer و تعداد هسته‌های موجود در سیستم آلوده شده، ابزارهای مورد استفاده ناظران ماشین مجازی -که بر روی سیستم نصب شده‌اند- را چک می‌کند.

پژوهشگران امنیتی هندی می‌گویند: «سازنده این تروجان با وجود تلاشی که از سال 2016 برای مخفی ماندن انجام داده، اما هیچ زمانی را برای مبهم‌سازی کد .NET خود صرف نکرده است».