Elastik Güvenlik Laboratuarları son zamanlarda Rhadamanthys Infostealer ile birlikte gözlemlenen Doubleloader adlı sofistike yeni bir kötü amaçlı yazılım ailesi ortaya çıkardı.
Bu keşif, analizi engellemek için gelişmiş gizleme araçlarından yararlanan siber suçluların gelişen taktiklerine, tekniklerine ve prosedürlerine (TTP’ler) ışık tutar.
Özellikle, Doubleloader, ilk olarak 2023’te piyasaya sürülen, başlangıçta oyuna hackleme topluluğuna dayanan, ancak e-suçta ve hedefli müdahalelerde giderek daha fazla istismar edilen açık kaynaklı bir obfuscator olan Alcatraz tarafından korunuyor.
.png
)
Bu kötü amaçlı yazılım ikilisi, güvenlik analistleri için artan bir zorluğu temsil eder, çünkü gizleme teknikleri tersine mühendislik sürecini önemli ölçüde karmaşıklaştırır ve tehditleri analiz etmek ve hafifletmek için gereken süreyi uzatır.
Alcatraz ile bağlantılı çiftlik yazılım
Kendi kendini tanımlayan PDB yolu ile tanımlanan çift yükleyici kötü amaçlı yazılım, NTopenProcess ve NTCreateThreadex gibi syscall’ları kullanarak explorer.exe’ye geri almamış kod enjekte ederek kötü niyetli davranışlar sergiler.
Sabit kodlanmış bir C2 IP adresine (185.147.125.81) ana bilgisayar verilerini ve işaretlerini toplar ve arka kapı yeteneklerini vurgular.
Doubleloader’da farklı bir araç işareti, Alcatraz’ın şaşkınlığının bir imzası olan “.0Dev” adlı standart olmayan bir yürütülebilir bölümün varlığıdır.
Alcatraz, hepsi statik ve dinamik analiz araçlarını hayal kırıklığına uğratmak için tasarlanmış kontrol akışı düzleşmesi, talimat mutasyonu, sürekli açılma, LEA sabit gizleme, anti-ayrışma anti-hileleri ve giriş noktası sapması gibi bir dizi teknik kullanır.
Örneğin, kontrol akışı düzleştirilmesi, bir dispatcher mekanizması getirerek geleneksel program yapısını bozarken, spesifik baytlardan önce kısa atlama talimatlarını eklemek, sökme ve manuel müdahale veya otomatik yama gerektirmek gibi anti-ayrışma teknikleri.
Rapora göre, Elastik Güvenlik Laboratuarları analizlerinde bu yöntemleri detaylandırdı ve Alcatraz’ın bin2Bin iş akışında ikili dosyaları nasıl dönüştürdüğünü ve saldırganların kaynak seviyesi değişiklikleri olmadan derlenmiş kodu gizlemesine izin verdiğini gösterdi.
Gelişmiş gizleme taktikleri
Bu zorluklarla mücadele etmek için, araştırma ekibi, çift yükleyici aktivitesini tespit etmek için Yara kurallarının yanı sıra Alcatraz korumalı ikili dosyaları deobiscate etmek için Ida Python senaryolarını geliştirdi ve yayınladı.
Yaklaşımları, tersine talimat mutasyonları için desen eşleşmesini, katlanmamış sabitleri kurtarmak için emülasyon ve kontrol akışlarını çözmek için D810 gibi eklentileri içerir.
Bu araçlar ve stratejiler, bu tür tehditleri etkili bir şekilde tetiklemeyi ve analiz etmeyi amaçlayan kuruluşlar için hayati önem taşır.
Rapordan yapılan pratik bir örnek, katmanlı gizlemenin, ayrışma önleyici atlamaları ele alarak, lehte saklanan dizeleri geri yükleyerek ve dekompilasyonu rafine ederek, sonuçta kötü amaç ve işlevselliği ortaya çıkararak tekrar soyulduğu çift yükleyici bir fonksiyonun temizlenmesini göstermektedir.
Bu titiz süreç, temel davranışlar incelenmeden önce gizlemenin sökülmesi için önemli bir zaman harcandığı kötü amaçlı yazılım analizinde sık sık görülmeyen çabanın altını çizmektedir.
Doubleloader gibi kötü amaçlı yazılım kampanyalarında Alcatraz’ın ortaya çıkması, tehdit aktörleri tarafından silahlandırılan erişilebilir, güçlü gizleme araçlarının rahatsız edici bir eğilimini işaret ediyor.
Oyun hacklemesindeki kökenleri ile Alcatraz’ın e-suç grupları ve APTS tarafından benimsenmesi, rakiplerin önünde kalmak için ileri savunma tekniklerine ve işbirlikçi araçlara duyulan ihtiyacı vurgulamaktadır.
Elastik Güvenlik Laboratuarlarının Alcatraz’ın TTP’lerinin kapsamlı bir şekilde bozulması ve karşı önlemlerin serbest bırakılması, siber güvenlik topluluğunun bu gizlenmiş tehditlerle başa çıkma ve günümüz tehdit manzarasında bu tür sofistike kaçış taktiklerini anlamanın önemini güçlendirme konusunda güçlendirme konusunda kritik bir adım.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!