Pure Crypter Windows 11 24H2ning xavfsizlik mexanizmini aylanib o'tdi

Kiberxavfsizlik tadqiqotchilari Windows 11 24H2 da joriy etilgan yaxshilangan xavfsizlik choralarini maxsus nishonga olish va chetlab o'tish uchun rivojlangan "Pure Crypter" deb nomlanuvchi murakkab zararli dastur shifrlovchisini aniqladilar.

Ushbu ilg'or zararli dasturlarni qadoqlash vositasi muhaddidlar va operatsion tizim xavfsizlik yaxshilanishlari o'rtasidagi davomli "mushuk va sichqon" o'yinida sezilarli kuchayishni anglatadi, bu esa muhaddidlarning yangi himoya mexanizmlariga qanchalik tez moslashishini ko'rsatadi.

Pure Crypter zamonaviy xavfsizlik yechimlari tomonidan aniqlanishdan qochib, muvaffaqiyatli yuklamani bajarishni ta'minlash uchun bir nechta qochish texnikalarini birlashtirgan keng qamrovli zararli dasturlarni yetkazib berish platformasi sifatida ishlaydi.

PureCrypter zararli dasturlarni tahlil qilish va aniqlashga qarshi usullar arsenalini qo'llaydi, jumladan, Anti-Malware Scan Interface (AMSI) ni chetlab o'tish, dinamik havola kutubxonasi (DLL) ni ajratish, bajarilishni kechiktirish va zararli dasturlardan ta'sirlangan tizimlarda o'z o'rnini saqlab qolish imkonini beruvchi murakkab doimiy mexanizmlar.

eSentire tahlilchilari ushbu zararli dasturni o'zlarining xatarlarni qidirish amaliyotlari davomida aniqladilar va Pure Crypter Windows 11 26100 tuzilishida, shuningdek, 24H2 sifatida tanilgan xavfsizlik yaxshilanishlariga qarshi turish uchun maxsus ishlab chiqilgan muhim yangilanishlardan "o'tganini" qayd etishdi.

Tadqiqotchilar zararli dastur mualliflari 2025-yil yanvar oyida operatsion tizimdagi o'zgarishlarga javoban yangi funksionallik qo'shganini kuzatdilar, bu avvalgi ba'zi injekshn usullarining samarali ishlashiga to'sqinlik qilgan edi.

PureCrypter ta'siri an'anaviy zararli dasturlarni yetkazib berishdan tashqariga chiqadi, chunki u xavf-xatar ishtirokchilariga turli xil zararli yuklamalarni, jumladan, to'lov dasturlari, ma'lumot o'g'irlovchilar va masofadan boshqariladigan troyanlarni yashirinlik va doimiylikni saqlagan holda joylashtirish imkonini beradi.

Crypterning modulli dizayni kiberjinoyatchilarga o'z hujumlarini ma'lum nishonlar va amaliy talablarga asoslanib sozlash imkonini beradi, bu esa uni zamonaviy xatarlar landshaftida ko'p qirrali vositaga aylantiradi.

Windows 11 24H2 uchun ilg'or jarayon injekshn usullari

Pure Crypterning eng muhim yangiliklaridan biri uning Windows 11 24H2da joriy etilgan xavfsizlik yaxshilanishlarini, aynan jarayonlarni bo'shatish usullari bo'yicha yengib o'tishga moslashishidadir.

Zararli dastur ishlab chiquvchilari an'anaviy jarayon injekshn usullarining yangi operatsion tizim tuzilmalari tomonidan bloklanayotganini tushunishdi va NtManageHotPatch APIni maxsus nishonga oluvchi murakkab yechimni joriy etishdi.

Crypter avval nishon mashinada Windows 11 26100 yoki undan yangiroq tuzilma ishlayotganligini aniqlash uchun tizim tekshiruvini o'tkazadi, bunda "SOFTWARE\Microsoft\Windows NT\CurrentVersion" registr kalitini so'raydi va CurrentBuild qiymatini solishtiradi.

Agar tizim 24H2 yoki undan keyingi talqin sifatida aniqlansa, Pure Crypter yangi xavfsizlik cheklovlarini chetlab o'tish uchun NtManageHotPatch funksiyasini o'zgartiruvchi xotira patchlash tartibini boshlaydi.

Patch jarayoni APIning himoya mexanizmlarini samarali ravishda yo'q qiladigan maxsus bayt ketma-ketliklarini xotiraga yozishni o'z ichiga oladi. 64 bit tizimlar uchun zararli dastur "184, 187, 0, 0, 192, 195" baytlarini yozadi, 32 bit tizimlar esa "184, 187, 0, 0, 192, 194, 16, 0" baytlarini qabul qiladi.

Ushbu texnika ehtiyotkorona xotira boshqaruvini talab qiladi, jumladan, VirtualProtectEx yordamida xotira ruxsatlarini o'zgartirish, WriteProcessMemory bilan patch baytlarini yozish va o'zgartirishlarning kuchga kirishini ta'minlash uchun ko'rsatmalar keshini tozalash.

Ushbu amalga oshirish Windows ichki tuzilishini chuqur tushunishni namoyish etadi va zararli dasturlarning aylanib o'tish texnikalarida sezilarli evrilishini anglatadi.

NtManageHotPatchni muvaffaqiyatli patch qilish orqali Pure Crypter o'zining RunPE (jarayonni bo'shatish) funksionalligini eng so'nggi Windows 11 tuzilmalarida ishlashiga imkon beradi, bu esa muhaddidlarga zararli kodni tabiiy jarayonlarga kiritish, jarayon yaratish va xotira ajratish namunalarining xatti-harakatlar tahliliga tayanadigan xavfsizlik yechimlaridan qochish imkonini beradi.