تکنیک جدید تزریق کد به هکرها اجازه می‌دهد تا حملات‌شان شناسایی نشود

محققان هنگامی که مشغول تجزیه و تحلیل نمونه بدافزارهای گوناگون (از جمله بدافزار گروه ایرانی APT33) بودند، به یک تکنیک جدید جهت تزریق کد به نام «پرنده سحرخیز» پی بردند که توسط حداقل ۳ تا از پیچیده‌ترین بدافزارها استفاده شده بود.

همانطور که از اسمش هم پیداست، یک تکنیک ساده اما قوی ست که به مهاجم این امکان را می‌دهد تا کد مخرب را به پروسه‌های مجاز سیستمی‌ در ویندوز، در مرحله آغاز سازی Thread قبل از اینکه اجرا شود، تزریق کنند (یعنی درست قبل از اینکه بسیاری از مکانیزم‌های امنیتی اجرا شوند) و به این ترتیب از شناسایی آن‌ها توسط هوک‌های موتور ویندوز و ضدبدافزارها جلوگیری می‌کند. این تکنیک بسیار مشابه با تکنیک AtomBombing است.

این روش با تکیه بر تابع «فراخوانی روند ناهمگام» (APC) در ویندوز اجازه می‌دهد تا برنامه‌ها، کدهایی را بصورت ناهمگام در بافت یک Thread‌ بخصوص اجرا نمایند.

می‌توانید در لینک

https://www.youtube.com/watch?v=_sI76NLPMjI

کلیپ توضیح این تکنیک را مشاهده کنید یا در لینک

https://www.cyberbit.com/blog/endpoint-security/new-early-bird-code-injection-technique-discovered/

توضیحات اجمالی آن را بخوانید.