Get best of the week

سيلانس مقابل Sality

تحية للجميع. تحسبًا لبدء الدورة "Reverse Engineering 2.0" ، تم إعداد ترجمة أخرى مثيرة للاهتمام.



تعمل Sality على إرهاب مستخدمي الكمبيوتر منذ عام 2003 ، عندما تصدرت المساعدات الرقمية الشخصية (PDAs أو PDAs) العناوين الرئيسية للمنشورات الفنية وأجهزة الكمبيوتر المكتبية التي تعمل بنظام Windows XP. على مر السنين ، تمكن المستخدمون من تبادل أجهزة المساعد الرقمي الشخصي الخاصة بهم للهواتف الذكية ، وتحولت أجهزة الكمبيوتر المكتبية إلى أنظمة تشغيل جديدة وحلول رقمية لمحطات العمل. ومع ذلك ، نجت Sality من وتيرة الابتكار التكنولوجي المحمومة ولا تزال تهدد المنظمات حتى يومنا هذا.

يصيب فيروس Sality الملفات التنفيذية المحلية والوسائط القابلة للإزالة ومحركات الأقراص المستخدمة عن بُعد. يقوم بإنشاء الروبوتات من نظير إلى نظير (P2P) التي تسهل تنزيل البرامج الضارة الأخرى وتنفيذها. يمكن لـ Sality إجراء حقن برمجية ضارة وتعديل نقطة إدخالها لفرض تنفيذ التعليمات البرمجية. يظل هذا البرنامج الضار قابلاً للتطبيق ، حيث يعتمد استراتيجيات ناجحة للتهديدات الأخرى ، بما في ذلك طرق مثل rootkit / backdoor ، وتسجيل المفاتيح ، وتوزيع شبيه بالديدان.

تحليل سلسلة الهجوم




تحليل Sality


يبدأ تحليلنا بلقطة شاشة لملف خدمة Windows Defender المصاب برمز ضار. لاحظ الشفرة الخبيثة المضمنة في القسم الأخير من هذا الملف (الشكل 1) :


الشكل 1: يوضح السطر الأخير أن

Sality القابل للتنفيذ للقراءة / الكتابة ينشئ ثلاث نسخ من نفسه. يتم حفظ النسخة الأولى في المجلد %AppData%\local\temp\ (الشكل 2) ويتم تضمينها في عملية المستكشف (الشكل 3) :


الشكل 2: يتم حفظ النسخة الأولى من Sality في المجلد %temp%باسم xelag.exe


الشكل 3: يتم تضمين العملية الضارة في عملية المستكشف ( xelag.exe)

يتم حفظ النسخة الثانية من هذه البرامج الضارة في المجلد %AppData%\local\temp\%random_folder_name%\مع الاسم WinDefender.exe (الشكل 4) :


الشكل 4. النسخة الثانية من Sality بالاسمWinDefender.exe

يتم تخزين النسخة الثالثة من Sality في الذاكرة الافتراضية للعملية البعيدة في المجلد %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Download_Manager.exe(الشكل 5) :


الشكل 5: النسخة الثالثة من Sality محفوظة بالاسم Download_Manager.exe.

لضمان الاستدامة ، تعدل Sality السجل (الشكل 6) :


الشكل 6: يتم كتابة Sality في السجل.

ثم يحاول الفيروس إنشاء اتصال P2P لتنزيل برامج ضارة إضافية (الشكل 7) :


الشكل 7: يتحول Sality إلى عنوان IP مشبوه للحصول على المزيد من البرامج الضارة.

عند إعادة تشغيل الضحية ، يتم تضمين جميع النسخ الثلاثة من البرامج الضارة في explorer.exe (الشكل 8) :


الشكل 8: جميع النسخ الثلاثة من Sality مدمجة في عملية المستكشف.

ما أهمية Sality ولماذا يجب أن أزعجني؟


ظهرت Sality لأول مرة في نفس العام الذي فتحت فيه Apple متجر iTunes ، ووضعت دور السينما شباك التذاكر في King's Return. لا يزال يشكل تهديدا اليوم. طول العمر الوحيد لفيروس Sality هو دليل على فعاليته وقدرته على التكيف والقدرة على التكيف. يجب ألا تكون أي برامج ضارة لا تزال قابلة للتطبيق بعد عقد ونصف من اكتشافها الأولي بعيدة عن متناول المستخدمين ومتخصصي الأمان.

مقارنة بـ Nemucod، Sality مثال أكثر اكتمالًا ونضوجًا للبرامج الضارة. لديها تاريخ طويل من التغييرات التي تشير إلى مجموعة متنوعة من حالات الاستخدام مع القدرة على نشر Sality اعتمادًا على أهداف وتعقيد الهجوم. بمقارنة قدرات Sality بفئات تكتيكات MITER ATT & CK ، فإن هذا البرنامج الضار قادر على لعب دور في كل مرحلة داخلية من سلسلة الهجوم بعد التنفيذ ، مما يعني أن Sality يحتاج إلى طريقة تسليم على البيئة قبل أن يتمكن من العمل.

إذا لزم الأمر ، يمكن أن يعمل Sality كعامل تشغيل رئيسي ، حيث يزود المهاجم بمجموعة أساسية من الوظائف لأداء إجراءات مختلفة على الهدف ، تهدف إلى الحفاظ على الوصول وتوسيعه. لديها أيضًا القدرة على تنزيل ميزات إضافية معيارية حسب الحاجة من قبل مهاجم. المرونة التي توفرها مجموعة الميزات الأساسية هذه تجعل Sality مناسبة لمجموعة واسعة من الحملات الهجومية.

توفر المرونة التي توفرها البرامج الضارة الشائعة مثل Sality للمهاجمين الأكثر تعقيدًا القدرة على إخفاء نشاط وهدف هجوم مستهدف تحت غطاء حملة واسعة وعشوائية. يمكن للمهاجم استخدام قدرات Sality في الموجة الأولى من هجوم مستهدف ، وإنشاء موطئ قدم في البيئة. بفضل هذا الوصول ، يمكن للمهاجم فتح برامج ضارة أكثر تعقيدا أو تدميرا بعد أن يقدر المخاطر التشغيلية على أساس الموقف الدفاعي للهدف.

سيلانس توقف Sality


سيسعد مستخدمو CylancePROTECT بمعرفة أننا نكتشف Sality ونمنعه قبل إطلاقه. من خلال منع إطلاق Sality ، نحمي عملائنا من هذه البرامج الخبيثة المضغية والعديد من التهديدات الأخرى التي تسعى لنشرها. قد تكون Sality طويلة الأمد أو لا تستمر ، لكنها لن تعيش على الآلات المحمية بواسطة CylancePROTECT.


احصل على خصم على الدورة.

More articles:


All Articles