پیرو سوالات مکرر در روزهای اخیر در خصوص بدافزار Dilemma و تاکتیکی که به صورت اختصاصی برای دور زدن پادویش به کار رفته است، به اطلاع کاربران محترم پادویش میرساند این مجموعه بدافزار از سال گذشته توسط پادویش با عنوان HackTool.Win32.APT- PS شناسایی میشده است.
در واقع هکر با علم به این که آنتیویروس پادویش توانایی جلوگیری از تخریب اطلاعات سیستم را دارد، سعی داشته است از راه دیگری با استفاده از ابزارهای استاندارد سیستم برای حذف اطلاعات استفاده کند. با این وجود مولفه ضدباجگیر پادویش باز هم از وقوع این نوع حمله جلوگیری کرده است.
بر اساس تحلیل کارشناسان پادویش، عملکرد این مجموعه بدافزار به شکل زیر است:
در دستورات برنامه تابعی وجود دارد که نشان میدهد هکر به آنتی ویروس پادویش حساس بوده است. به عنوان مثال بدافزار لیست پردازههای در حال اجرا روی سیستم را رصد میکند. در صورتی که در میان این پردازهها، سرویس پادویش یا UI آن بالا باشد، بدافزار به جای اجرای تابع پیش فرض خود برای Wipe اطلاعات، تلاش میکند عملیات wipe را از طریق دیگری انجام دهد.
به نظر میرسد علت این تغییر تاکتیک از طرف بدافزار، فرار از سیستم شناسایی رفتاری پادویش است که روش wipe اطلاعات آن را تشخیص داده و آن را بلافاصله به صورت خودکار متوقف میکند؛ اما در هر صورت روش دوم بدافزار نیز توسط پادویش شناسایی و متوقف میشود.
به علاوه، ویژگی منحصر به فرد محافظت اطلاعات پادویش با تشخیص عملکرد Wipe توسط این بدافزار، مانع از تخریب اطلاعات توسط بدافزار شده و به اجرای آن خاتمه میدهد.
گزارش تحلیل منتشر شده در تاریخ 24 فروردین 1401:
https://threats.amnpardaz.com/malware/apt/hacktool-win32-apt-ps
گزارش منتشر شده در اتاق خبر امن پرداز پیرو انتشار خبر مرکز مدیریت افتا (شناسایی یک بدافزار جدید در زیرساختها با عنوان Dilemma):
https://news.amnpardaz.com/1401/03/5929/
