Mahdiyar
Mahdiyar
خواندن ۱ دقیقه·۴ سال پیش

بررسی کوتاه نمونه فایل مخرب Notepad++


بررسی Trend Micro بر روی فایل مخرب NP++ با توجه به پروسس‌هایی که باهاش لینک میشن، نشان از backdoor بودن اون داره. یکی از روش هایی که برای پیدا کردن پروسس های مخرب استفاده میشه، توجه کردن به نام پروسس ایجاد شده است. به طور معمول، NP++ از نام notepad++.exe استفاده می‌کنه، اما این نسخه‌ی مخرب از نام notepad.exe بهره گرفته که در نگاه اول غیرعادی به نظر میاد:

نام غیرمعمول پردازش
نام غیرمعمول پردازش

همین امر دلیل خوبی برای بررسی بیشتر این پردازش هست. با توجه به بررسی که انجام شده، این نسخه‌ی مخرب فعالیت خودش رو با اجرای دستورات و ابزارهای زیر جلو میبره:

زنجیره فعالیت‌های مخرب پردازش
زنجیره فعالیت‌های مخرب پردازش

بعد از آلوده کردن اولین ماشین، پخش شدن نسخه آلوده NP++ و فایل config.dat از طریق admin share اتفاق میفته لازم به ذکر هست که این نسخه‌ی آلوده از مرجع اصلی گرفته نشده و از منبعی غیررسمی دانلود شده که نشان‌دهنده‌ی اهمیت استفاده از ابزارهای رسمی (به خصوص در ویندوز) اشاره داره.




تحلیل بدافزاربدافزارامنیت
تحلیل‌گر امنیت سایبری
شاید از این پست‌ها خوشتان بیاید