Ağır Şekilde Gizlenmiş PIKABOT, EDR Korumasından Kaçıyor


PIKABOT, kodunu sürekli değiştirerek tanınmasını zorlaştıran ve Uç Nokta Tespit ve Yanıt (EDR) sistemlerini kolayca atlayan polimorfik bir kötü amaçlı yazılımdır.

Gizleme, şifreleme ve anti-analiz teknikleri, nesnenin bu geleneksel güvenlik önlemlerinden kaçınmasına yardımcı olur.

PIKABOT, yapısını dinamik olarak değiştirerek imza tabanlı tespitin önüne geçebiliyor, bu da EDR çözümlerinin sürekli değişen davranışlarına ayak uydurmasını zorlaştırıyor.

Elastic Security Labs’taki siber güvenlik araştırmacıları yakın zamanda 8 Şubat’ta yeni ve yükseltilmiş PIKABOT kampanyalarını keşfetti.

Kötü niyetli kişiler tarafından fazladan yük dağıtmak için kullanılan popüler bir yükleyiciye PIKABOT adı veriliyor.

Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.

PIKABOT EDR Korumasından Kaçıyor

Elastic Security Labs, güncellenmiş yükleyiciye, yeni paket açma yöntemine ve dizelerin şifresinin çözülmesine yönelik yoğun gizlemenin yanı sıra diğer gizleme değişikliklerine sahip yeni bir PIKABOT örneği tespit etti.

Güncelleme, gelecekteki iyileştirmeler için yeni bir kod tabanının oluşturulduğunun bir göstergesidir.

Ancak bu değişikliklerin önceki sürümlerde olduğu gibi imzaları ve önceki araçları bozması bekleniyor.

PIKABOT yürütme akışı (Kaynak – Esnek)

PIKABOT, Yeni Yıl boyunca sessiz kaldı ancak 8 Şubat’ta başlatılan bir kampanyayla Şubat ayında yeniden ortaya çıktı.

E-postalardaki ZIP arşivleri, karmaşık Javascript’i indirmek için köprüler içeriyordu.

Saldırgan, meşru bir araç olan grepWinNP3.exe dosyasını gerçek görünecek şekilde değiştirdi.

Çağrı yığını analizi, Detonate sanal alanına ve Elastic Defend’in çağrı yığınına giren kötü amaçlı kodun izini sürdü.

Yürütmeler 0x81aa7 uzaklığından önce başlar ve önceki cümlenin bu son bölümünde belirtildiği gibi 0x25d84 uzaklığında bellek tahsisine doğru atlar.

Süreç oluşturmaya yönelik normal çağrılar yoktu; bunun yerine, EDR ürünlerinden kaçan ve WOW64 modüllerindeki kullanıcı modu kancalarını atlayan kabuk kodu yoluyla desteklenmeyen bellek sistem çağrıları vardı.

Araştırmacılar, PIKABOT yükleyicinin çalıştırılması için 0x81aa7 uzaklığında sabit kodlanmış bir adres buldu. Ağır karışıklık nedeniyle analizi zorlaştırmak için koddaki her montaj hattından sonra JMP talimatları kullanılır.

Bu yükleyici, yükünü .text bölümünden kurtarmak için bit düzeyinde işlemler aracılığıyla özel şifre çözme kullanır.

Ancak bu, herhangi bir PE dosyasının diske yazılmamasına ve bellekte çalıştırılmamasına neden olabilir.

Bunu yaparak, ana sistem üzerinde dijital ayak izi azaltılarak gizlilik artırılır.

PIKABOT çekirdeği, kod ve dize gizleme, NTDLL Zw API’leri ve gelişmiş hata ayıklama önleme kullanılarak aşama 2 yükleyici tarafından başlatılır.

Dahası, PIKABOT çekirdeği doğrudan sistem çağrıları yaparak, EDR kullanıcı tarafında takılma ve hata ayıklamayı atlamasına olanak tanır.

Ayrıca kötü amaçlı yazılım, adli tıp ve hata ayıklama araçları tarafından tespit edilemeyen teknikler olarak ZwQuerySystemInformation, ZwQueryInformationProcess, PEB denetimi, GetThreadContext yöntemlerini ve diğer birçok yöntemi kullanır.

PIKABOT çekirdeğinin mevcut sürümü, önceki sürümleriyle benzer şekilde çalışır.

Ancak yeni bir gizleme stili, farklı dize şifre çözme işlemleri, düz metin yapılandırmasının kullanılması ve ağ iletişim değişiklikleri (AES yerine RC4) gibi bazı farklılıklar vardır.

Bu ikili nispeten daha az karmaşıktır ancak yine de tanıdık kalmaktadır. Geriye kalan satır içi RC4 işlevleri, meşru dizeleri anahtar olarak kullanır.

Gizleme, analistin kafasını karıştırmak için gereksiz kod eklenmesi yoluyla yapılır. Komut yürütme, keşif ve süreç enjeksiyonu temel işlevselliğin bir parçasını oluştururken.

Kötü amaçlı yazılım analizinde uzmanlaşan Twitter kullanıcısı reecDeep, Pikabot kötü amaçlı yazılımının TA577 tarafından HTML dosyaları aracılığıyla dağıtıldığını fark etti.

Şaşırtıcı bir şekilde bu dosyalar VirusTotal’daki hiçbir antivirüs programı tarafından algılanmadı.

Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.





Source link