بدافزار PDFSIDER
PDFSIDER یک درِ پشتی مخرب است که برای نفوذ به سیستمهای هدف و اعطای دسترسی از راه دور مداوم به مهاجمان طراحی شده است. پس از فعال شدن، با جا زدن خود به عنوان یک فایل قانونی و استفاده از تکنیکی به نام بارگذاری جانبی DLL، کنترلهای امنیتی را دور میزند. پس از نفوذ موفقیتآمیز، این بدافزار بلافاصله اطلاعات سیستم را جمعآوری کرده و امکان اجرای دستور از راه دور را فراهم میکند. هرگونه شناسایی تأیید شده به دلیل سطح کنترلی که برای عوامل تهدید فراهم میکند، نیاز به حذف فوری دارد.
فهرست مطالب
مخفیکاری از طریق اجرای فقط با حافظه
یکی از ویژگیهای بارز PDFSIDER، توانایی آن در عملکرد اصلی در حافظه سیستم است که به طور قابل توجهی قابلیت مشاهده آن را برای ابزارهای امنیتی سنتی کاهش میدهد. پس از اجرا، به طور بیصدا کانالهای ارتباطی پنهانی ایجاد میکند و دستورات را از طریق cmd.exe بدون نمایش هیچ پنجره فرمانی اجرا میکند. این رویکرد، کنترل کامل از راه دور را فراهم میکند و در عین حال، ردپاهای قانونی روی دیسک را به حداقل میرساند.
پس از اجرای دستور، بدافزار اطلاعات دقیق سیستم را گردآوری میکند، یک شناسه منحصر به فرد برای دستگاه آلوده ایجاد میکند و دادههای جمعآوریشده و خروجی دستور را به مهاجمان ارسال میکند.
ارتباطات رمزگذاری شده و تکنیکهای ضد تجزیه و تحلیل
PDFSIDER برای پنهان کردن تمام ترافیک فرمان و کنترل، به رمزگذاری قوی متکی است. دادهها فقط در حافظه رمزگشایی میشوند و هرگز روی دیسک نوشته نمیشوند، که این امر تشخیص و تجزیه و تحلیل را پیچیدهتر میکند. این بدافزار همچنین بررسیهای محیطی را انجام میدهد تا مشخص کند که آیا در یک محیط آزمایشی یا سندباکس اجرا میشود یا خیر. اگر تجزیه و تحلیل مشکوک باشد، برای جلوگیری از افشای اطلاعات، خود را خاتمه میدهد.
قابلیتهای عملیاتی و اهداف مخرب
PDFSIDER از طریق قابلیت درب پشتی خود، طیف گستردهای از فعالیتهای مخرب را پشتیبانی میکند، از جمله:
- سرقت دادههای حساس مانند اسناد، اطلاعات احراز هویت و اطلاعات دقیق سیستم
- نظارت مداوم بر دستگاههای آلوده و انتقال احتمالی دستگاههای جانبی به سیستمهای اضافی
این قابلیتها، PDFSIDER را در درجه اول به عنوان ابزاری برای جاسوسی و نظارت طولانیمدت قرار میدهد و به مهاجمان این امکان را میدهد که بیسروصدا دسترسی خود را برای مدت طولانی حفظ کنند.
آلودگی هدفمند از طریق بارگذاری جانبی DLL
این بدافزار از طریق ایمیلهای فیشینگ با دقت طراحیشده که خود را به جای منابع معتبر جا میزنند و یک پیوست ZIP ارائه میدهند، توزیع میشود. در داخل آرشیو، یک فایل اجرایی وجود دارد که خود را به عنوان نصبکننده یک برنامه قانونی به نام «PDF24 App» جا میزند. هنگام اجرا، هیچ برنامه قابل مشاهدهای ظاهر نمیشود، اما یک DLL مخرب که در کنار فایل اجرایی ذخیره شده است، به جای یک فایل سیستم قانونی بارگذاری میشود.
این سوءاستفاده از بارگذاری جانبی DLL به PDFSIDER اجازه میدهد تا سازوکارهای امنیتی خاص را دور بزند و بدون هشدار به کاربر، آلودگی را آغاز کند.
یک ابزار جاسوسی پایدار و خطرناک
PDFSIDER یک درِ پشتیِ متمرکز بر مخفیکاری است که برای دسترسی بلندمدت مهندسی شده است. رفتار ساکن در حافظه، ارتباطات رمزگذاریشده و آگاهی از محیط، آن را قادر میسازد تا ضمن حفظ کنترل کامل بر سیستمهای آسیبدیده، پنهان بماند. این ویژگیها، آن را به ابزاری بسیار مؤثر برای سرقت دادهها، نظارت پنهانی و عملیات جاسوسی سایبری مداوم تبدیل میکند.
