Siber güvenlik manzarası, giderek daha karmaşık hale gelen kötü amaçlı yazılım varyantları ile gelişmeye devam ediyor ve son zamanlarda yapılan bir keşif, gelişmiş Android Packers’ın yarattığı kalıcı tehdidi vurguluyor.
Güvenlik araştırmacıları, kötü şöhretli Triada Android kötü amaçlı yazılımlar için bir dağıtım mekanizması görevi gören “Ducex” adlı son derece karmaşık bir paketleyici tespit ettiler.
Çin’in geliştirdiği bu araç, mobil kötü amaçlı yazılım gizleme tekniklerinde önemli bir ilerlemeyi temsil ederek siber suçluların tespit ve analizden kaçınacağı uzunlukları gösteriyor.
Ducex Packer, sahte bir telgraf uygulamasına gömülü olarak keşfedildi ve popüler mesajlaşma platformlarının saldırı vektörleri olarak kullanıldığını gösterdi.
Geleneksel kötü amaçlı yazılım dağıtım yöntemlerinden farklı olarak, Ducex, fonksiyon şifreleme, dize gizleme ve sofistike anti-analiz tekniklerini birleştiren çok katmanlı bir yaklaşım kullanır.
Kötü amaçlı yazılımın birincil hedefi, basit yük sunumunun ötesine uzanır ve ters mühendisliği karmaşıklaştırmak ve operasyonunu anlamaya çalışan güvenlik araştırmacılarını hayal kırıklığına uğratmak için kapsamlı önlemler içerir.
RUN analistleri, rutin kötü amaçlı yazılım analizi sırasında örneği, Triada ailesiyle ilişkili karakteristik iletişim modellerini tanıyarak tanımladılar.
Keşif, ekibin şüpheli Android uygulamalarına yönelik araştırmasından ortaya çıktı ve burada etkileşimli kum havuzunun kötü amaçlı yazılımların kendine özgü ağ davranışını hızla işaretlediği.
.webp)
Araştırmacılar, Triada’nın 2016’dan bu yana tehdit ortamındaki dokuz yıllık varlığına rağmen, bu özel varyantın ambalaj ve şaşkınlık mekanizmalarında eşi görülmemiş düzeyde karmaşıklık gösterdiğini belirtti.
Paketleyicinin etkisi, daha sofistike mobil kötü amaçlı yazılım dağıtımına yönelik bir eğilimi temsil eden bireysel enfeksiyonların ötesine uzanır.
Geleneksel algılama yöntemlerinden başarılı bir şekilde kaçınarak ve analiz iş akışlarını karmaşıklaştırarak Ducex, temel Triada yükünün kalıcılık oluşturmasını ve kötü amaçlı işlemlerini yürütmesini sağlar.
Bu gelişme, geleneksel analiz araçlarına dayanan güvenlik ekipleri için önemli zorluklar oluşturmaktadır ve ileri dinamik analiz yeteneklerine olan ihtiyacı vurgulamaktadır.
Gelişmiş fonksiyon şifreleme ve anti-analiz mekanizmaları
Ducex tasarımının en çarpıcı yönü, fonksiyon şifreleme ve anti-analiz koruması konusundaki kapsamlı yaklaşımında yatmaktadır.
Packer, statik analizi önlemek için tüm fonksiyon bloklarını şifreleyen ek karıştırma mekanizmalarıyla değiştirilmiş bir RC4 algoritması uygular.
.webp)
Bu şifreleme, program giriş noktası ve JNI_onload dahil kritik işlevlerin çalışma zamanı yürütülene kadar şifrelenmiş kaldığı kütüphane düzeyinde, özellikle LibDucex.So bileşeni içinde gerçekleşir.
Şifre çözme işlemi, sihirli değerler, şifre çözme başlangıç adresleri, bayt sayımları, geri arama işlevleri ve 16 bayt şifreleme anahtarları içeren bir yapı kullanan sofistike bir konfigürasyona dayalı yaklaşımı takip eder.
Uygulama, standart RC4’ten ek karıştırma işlemlerinin dahil edilmesi yoluyla standart kriptografik kütüphaneler yerine özel şifre çözme rutinleri gerektirir.
def rc4_process(s, encoded_data):
i = s[256]
j = s[257]
output = bytearray(encoded_data)
for n in range(len(encoded_data)):
i = (i + 1) & 0xff
a = s[i]
j = (j + a) & 0xff
b = s[j]
s[i], s[j] = b, a
output[n] ^= s[(a + b) & 0xff]
for _ in range(2):
i = (i + 1) & 0xff
a = s[i]
j = (j + a) & 0xff
b = s[j]
s[i], s[j] = b, a
return bytearray(output)Paketleyicinin anti-analiz yetenekleri, FRIDA, Xposed ve substrat çerçeveleri dahil olmak üzere popüler araştırma araçlarını hedefleyen kapsamlı algılama mekanizmalarına genişler.
Bu araçlardan herhangi biri sistem belleğinde tespit edildiğinde, kötü amaçlı yazılım derhal yürütmeyi sonlandırır ve dinamik analiz girişimlerini etkili bir şekilde engeller.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi