محققان امنیتی Cyberbit به‌تازگی موفق به شناسایی یک تکنیک جدید در تزریق کد شدند که از شناسایی مهاجم جلوگیری می‌کند. این روش که Early Bird نامیده شده، تاکنون حداقل توسط سه بدافزار پیچیده متفاوت استفاده‌ شده است.

روش Early Bird نوعی تکنیک جدید است که به مهاجم اجازه می‌دهد کد مخرب را قبل از اجرای عملکرد اصلی، در یک فرآیند قانونی تزریق کند. در نتیجه این عمل امکان شناسایی برای محصولات ضد بدافزاری از بین خواهد رفت.

به گفته محققان این روش شباهت‌های زیادی با تکنیک تزریق کد AtomBombing دارد. در روش مذکور نیز تزریق کد به‌گونه‌ای است که امکان شناسایی توسط ابزار ضد بدافزاری وجود نخواهد داشت.

گفتنی است روش تزریق کد Early Bird ، تکنیکی مبتنی بر یکی از تابع‌های ویندوز بانام APC یا فراخوانی روند ناهمگام بوده که به اپلیکیشن‌ها اجازه می‌دهد کد را به‌طور ناهمگام در محتوای یک رشته مخصوص اجرا کنند.

در ادامه چگونگی تزریق کد مخرب به یک فرآیند قانونی از سوی مهاجم و اجرای آن، قبل از شروع اسکن برنامه‌های ضد بدافزاری،  تشریح می‌شود:

  • ایجاد یک فرایند معلق از یک فرآیند قانونی ویندوز مانند (.svchost.exe)
  • اختصاص دادن حافظه به این فرآیند و نوشتن کد مخرب در این حافظه
  • قرار دادن یک APC و یا فراخوانی روند ناهمگام در صف رشته اصلی فرایند مذکور
  • فراخوانی تابع NtTestAlert برای اجبار کرنل در اجرای کد مخرب به‌محض ازسرگیری رشته اصلی ( به دلیل اینکه تابع APC فرآیند را تنها در وضعیت قابل هشدار می‌تواند اجرا کند)

به گفته محققان تاکنون حداقل سه بدافزار  TurnedUp،  Carberp و DorkBot شناسایی‌شده است که از روش تزریق کد Early Bird استفاده کرده‌اند. به‌عنوان مثال بدافزار بات نت DorBot در سال ۲۰۱۲ از طریق لینک‌های شبکه‌های اجتماعی و اپلیکیشن های پیام‌رسان فوری برای سرقت اطلاعات احراز هویت کاربران مورداستفاده قرارگرفته است.