Araştırmacılar, Antivirüs Baypas Tekniklerini Ortaya Çıkarmak İçin Asgard Kötü Amaçlı Yazılım Koruyucuyu Tersine Çevirdi


Araştırmacılar, Antivirüs Baypas Tekniklerini Ortaya Çıkarmak İçin Asgard Kötü Amaçlı Yazılım Koruyucuyu Tersine Çevirdi

Son aylarda güvenlik araştırmacıları dikkatlerini şunlara çevirdi: Asgard Koruyucususiber suçlular tarafından kötü amaçlı yükleri gizlemek ve dağıtmak için kullanılan gelişmiş bir şifreleyicidir.

İlk kez 2023’ün sonlarında yer altı forumlarında reklamı yapılan Asgard Protector, LummaC2 gibi popüler C2 platformlarıyla kusursuz entegrasyonu sayesinde tehdit aktörleri arasında ilgi gördü.

Asgard Protector, bilgi hırsızlarını ve uzaktan erişim truva atlarını görünüşte zararsız yükleyicilerin içine sararak, geleneksel antivirüs savunmalarını baltalıyor ve olaylara müdahale çabalarını karmaşık hale getiriyor.

Araç seti genellikle, çalıştırıldığında birkaç gizli bileşeni geçici dizine açan, kendi kendine açılan bir Nullsoft arşivi olarak gelir.

SpyCloud analistleri, bu yükleyicinin toplu komut dosyasını uyumsuz dosya uzantılarıyla gizlediğini (örneğin, bir dosyayı yeniden adlandırdığını) belirtti. .bat dosyalamak Belgium.pst– ve gerçek amacını gizlemek için gizleme teknikleri kullanıyor.

Yükleyici, çıkarıldıktan sonra bir AutoIt yorumlayıcı ikili dosyasını bellekte bir araya getirir ve bir sonraki aşamayı başlatmadan önce yürütülebilir dosyayı yeniden oluşturmak için gömülü CAB arşivlerindeki parçalardan yararlanır.

google

SpyCloud analistleri, gömülü AutoIt komut dosyalarında ek kaçınma katmanları tespit etti. Şifrelenmiş veriler betiğin içinde saklanır ve yalnızca bir RC4 rutini kullanılarak bellekte şifresi çözülür.

Betik daha sonra ikili dosyanın sıkıştırmasını şunu kullanarak açar: Lznt1 Bir proses enjeksiyonu gerçekleştirmeden önce algoritma explorer.exekötü amaçlı işlemi güvenilir bir sistem ana bilgisayarı altında etkili bir şekilde gizler.

XSS’de yayınlanan Asgard Protector reklamı (Kaynak – SpyCloud)

Benzersiz bir sanal alan algılama mekanizması, analizi daha da karmaşık hale getirir: komut dosyası, rastgele oluşturulmuş bir alana bir ping gönderir ve herhangi bir yanıt alınırsa izlenen veya taklit edilen bir ağ ortamını belirterek çıkar.

Bu paketten çıkarma ve doğrulamanın ardından kötü amaçlı yük, operatörün yapılandırmasına bağlı olarak otomatik çalıştırma kayıt defteri anahtarlarını değiştirerek veya zamanlanmış görevleri dağıtarak kalıcılık kazanır.

Bellek içi şifre çözme, sıkıştırma ve sanal alan kontrollerinin birleşimi, Asgard Protector’un uç nokta savunmalarını aşmasına ve diskteki geleneksel bir yürütülebilir dosyayı bırakmadan yürütmesine olanak tanır.

Enfeksiyon Mekanizması

Enfeksiyon mekanizmasının derinliklerine inmek, Asgard Protector’un savunmadan kaçmayı nasıl tasarladığını ortaya çıkarıyor.

Nullsoft yükleyici komut dosyası, basit ama etkili bir gizlemeden yararlanır: –

findstr /b /r /c:"MZ" *.dat > offset.txt
for /f "tokens=1" %%A in (offset.txt) do set /A start=%%A
certutil -decode input.cab temp.exe
fsutil file createnew stub.bin %start%
more +%start% input.cab >> stub.bin
Asgard Protector tarafından kurulum için kullanılan gizlenmiş .bat dosyası (Kaynak – SpyCloud)

Bu kod parçasında komut dosyası, PE başlığının nerede başladığını belirlemek için bir CAB arşivi içindeki “MZ” başlığını bulur.

Daha sonra, AutoIt ikili dosyasını yeniden oluşturmak için çıkarılan verileri bu uzaklığın ötesinde birleştirir. Komut dosyası bir araya getirildikten sonra, elde edilen yükü belleğe enjekte etmeden önce RC4 şifre çözme ve LZNT1 sıkıştırma açma işlemlerini gerçekleştiren yardımcı bir AutoIt komut dosyasını çalıştırır.

Bu parça parça birleştirme ve yürütme modeli, kötü amaçlı yazılımın imza tabanlı antivirüs motorlarından kaçmasına ve disk tabanlı inceleme araçlarını engellemesine olanak tanır.

Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.

googlehaberler



Source link