Spycloud laboratuvarları analistleri, antivirüs algılama sistemlerinden kötü niyetli yükleri gizlemek için belirgin bir şekilde kullanılan sofistike bir kripter aracı olan başarılı bir şekilde tersine çevrilmiş Asgard Protector’a sahiptir.
Bu kripter, şu anda siber telli manzaradaki en yaygın emtia infostealer olan Lummac2 satıcıları arasında tercih edilen seçim olduğu için özel bir şöhret kazandı. Analiz, kötü amaçlı yazılım dağıtım yöntemlerinin gelişen karmaşıklığını gösteren karmaşık kaçırma tekniklerini ortaya koymaktadır.
Çekerler, modern siber suçlu operasyonlarda kritik bir bileşeni temsil eder ve görünüşte iyi huylu paketlere kötü niyetli yükleri saran koruyucu kabuklar olarak hizmet eder.
Asgard Protector, XSS’de 2023’e kadar uzanan reklamlar yer alan forumlarda kendisini premium bir hizmet olarak kurdu.
Hizmet, IP günlüğü özellikleri, santa anti-sanal makine algılama ve Autorun işlevselliği gibi özelleştirilebilir özelliklere sahip Crypted Stubs üreten otomatik bir telgraf botu aracılığıyla çalışır.
Aradığı .Bat dosyası ASCII metin dosyası veya bu örnekte Belçika.pst.
Crypter’ın iş modeli, siber suçların profesyonelleşmesini yansıtır ve birden fazla abonelik katmanı ve müşteri destek kanalları sunar.
Bu erişilebilirlik, özellikle uç nokta güvenlik çözümlerini atlamak için güvenilir yöntemler gerektiren LummaC2 operatörleri arasında yaygın olarak benimsenmesine katkıda bulunmuştur.
Teknik mimari ve kurulum süreci
Nullsoft paket sömürüsü
Asgard Protector’un ilk dağıtım mekanizması, kurulum komut dosyaları içeren kendi kendini ekleyen arşivler olarak işlev gören Nullsoft kurulum ikili dosyalarından yararlanır.
Nullsoft yükleyicileri meşru yazılım satıcıları tarafından yaygın olarak kullanıldığından, bu yaklaşım anında meşruiyet sağlar. Yürütme üzerine ikili, kurulum rutininden sorumlu bir toplu iş dosyasını bulup yürütmeden önce tüm bileşenleri sistemin geçici dizine (%sıcaklık%) çıkarır.
Crypter, bir gizleme tekniği olarak kasıtlı dosya uzatma uyumunu kullanır. Kritik toplu dosyalar gibi uzantılarla gizlenmiştir. .pstyürütülebilir komut dosyası kodu içerirken masum veri dosyaları olarak görünür.
Bu yanlış yönlendirme, hem otomatik tarama sistemlerinden hem de ilk triyajı yapan insan analistlerinden kaçmaya yardımcı olur.
Gizleme ve montaj teknikleri
Kurulum toplu komut dosyası, güvenlik araştırmacıları için statik analizi zorlaştırarak önemli bir şaşkınlık gösterir.
Bununla birlikte, Spycloud’un analizi, Otoit yürütülebilir bir ikili olarak parça parça montajı da dahil olmak üzere sofistike teknikleri ortaya çıkardı.
Komut dosyası, gömülü taksi arşivlerinden gelen dosyaları sabit kodlu sihir sayısı (MZ) başlıklarıyla birleştirerek bu ikili yeniden yapılandırır, ardından findstr Uygun PE üstbilgisi konumlandırma için belirli dosya ofsetlerini bulma komutu.
Bu yeniden yapılandırma yöntemi ikili amaca hizmet eder: antivirüs imzalarını tetikleyebilecek tam yürütülebilir dosyaların depolanmasını önler ve Windows PE dosya yapılarının gelişmiş anlayışını gösterir.
Yeniden monte edilen Autoit ikili, daha sonra gerçek kötü amaçlı yazılım yükünü içeren derlenmiş otomatik komut dosyalarını yürütür.
Bellek tabanlı yük enjeksiyonu
Otomatik ortam kurulduktan sonra, Asgard Protector sofistike bellek enjeksiyon tekniklerini uygular.
Kötü amaçlı yazılım yükü, otomatik komut dosyası içinde şifrelenmiş kalır ve doğrudan sistem belleğinde RC4 algoritmasını kullanarak gerçek zamanlı şifre çözme işlemine uğrar.
Bu yaklaşım, gerçek kötü amaçlı kodun asla dosya sisteminde şifrelenmemiş formda bulunmamasını ve adli analizi ve imzaya dayalı algılamayı önemli ölçüde karmaşıklaştırmasını sağlar.
Şifre çözülmüş yük, daha fazla işlenir RTLDecompressFragment LZNT1 sıkıştırma algoritması ile, başka bir şaşkınlık katmanı eklerken Crypter’ın depolama ayak izini azaltır.
Son yük tipik olarak explorer.exeWindows’un birincil kabuk işlemi, bu işlem normalde ağ bağlantılarını ve dosya sistemi erişimini sürdürdüğü için hem kalıcılık hem de meşruiyet sağlar.
Belki de Asgard Protector’un en yenilikçi yönü sanal alan tespit metodolojisidir.
Crypter, geleneksel ortam parmak izine güvenmek yerine, mevcut olmaması gereken rastgele oluşturulan alan adlarını ping atarak ağ bağlantısı testleri yapar. Meşru ortamlarda, bu pinglerin kötü amaçlı yazılımların ilerlemesine izin vererek yanıt almadığı için hiçbir yanıt almaz.
Bununla birlikte, güvenlik ürünlerinin ağ trafiğini engellediği ve simüle ettiği sanal alan ortamlarında, bu pingler yanıtlar alabilir ve kötü amaçlı yazılımları yapay ortama hemen uyarabilir.
Bu tür yanıtları tespit ettikten sonra, Asgard Koruyucusu yürütmeyi sonlandırır ve güvenlik araştırmacılarının yük örnekleri ve davranışsal analiz verileri almasını önler.
Yük dağıtım istatistikleri
Spycloud’un Virustotal’dan 1.200’den fazla Asgard Protector örneği analizi, kötü amaçlı yazılım aileleri arasında önemli kullanım kalıpları ortaya koymaktadır.
Lummac2, bu infostealer ve Crypter hizmeti arasındaki güçlü ilişkiyi göstererek, şifreli örneklerin yaklaşık% 69’unu oluşturan manzaraya hakimdir.
Rhadamanthys,%11’de en yaygın ikinci yükü temsil eder, bunu Acrstrealer, Quasarrat, Vidar ve Autorun Stealer dahil olmak üzere çeşitli diğer kötü amaçlı yazılım aileleri izler. Tanımlanamayan örneklerin düşük yüzdesi (%2’nin altında) Asgard Protector’un deneysel veya özel yükler yerine öncelikle yerleşik kötü amaçlı ailelere hizmet ettiğini göstermektedir.
Analizden ilginç bir bulgu, birden fazla antivirüs satıcısının Asgard Protector örneklerini, benzer işlevselliğe sahip başka bir krykor olan Cypherit olarak yanlış bir şekilde tanımladığını ortaya koyuyor.
Bu yanlış tanımlama, paylaşılan kod tabanlarını veya otomatik sınıflandırma sistemlerini karıştırmak için tasarlanmış kasıtlı olarak taklit teknikleri önermektedir. Bu tür sınıflandırma hataları, etkisiz imza güncellemelerine ve eksik tehdit avcılık çabalarına yol açabilir.
Sofistike kaçırma tekniklerine rağmen, Asgard Protector güvenlik ekiplerinin kullanabileceği tespit edilebilir davranış kalıpları sergiliyor. Crypter’ın kurulum işlemi, tespit için yeterince anormal olan belirli komut dizileri içerir:
Kötü amaçlı yazılım sürekli olarak kullanır tasklist ardından findstr “BdserviceHost”, “Sophoshealth”, “Avastui” ve “Avgui” gibi belirli antivirüs işlemlerini tanımlama komutları. Ayrıca, “OPSSVC” ve “WRSA” gibi kalıplar kullanarak güvenlik hizmeti süreçlerini arar.
İkili rekonstrüksiyon süreci karakteristik içerir extrac32 belirli parametrelere sahip komutlar ve ardından findstr PE başlıklarını bulmak için işlemler. Bu komut modelleri, süreç yürütme izlemeye odaklanan davranışsal algılama sistemleri için güvenilir göstergeler sağlar.
Kurumsal Güvenlik için Çıkarımlar
Asgard Protector tarafından gösterilen sofistike, suç operatörlerinin geleneksel olarak ileri kalıcı tehdit gruplarıyla ilişkili teknikleri kullandıkları siber tehdit manzarasının daha geniş evrimini yansıtmaktadır.
Crypter’ın Lummac2 ile entegrasyonu, çoğu geleneksel uç nokta güvenlik çözümünü atlayabilen zorlu bir kombinasyon oluşturur.
Kuruluşlar, imza tabanlı tespiti davranışsal analiz, bellek taraması ve ağ trafiği denetimi ile birleştiren çok katmanlı yaklaşımlarla bu gelişen tehditleri ele almak için güvenlik stratejilerini uyarlamalıdır.
Asgard Protector tarafından kullanılan sanal alan kaçırma teknikleri, kötü amaçlı yazılımlar tarafından kolayca parmak izi verilemeyen çeşitli analiz ortamlarının uygulanmasının önemini de vurgulamaktadır.
Temel savunma önerileri, bu analizde tanımlanan belirli komut modellerinin izlenmesini, bellek tabanlı kötü amaçlı yazılım algılama özelliklerinin uygulanmasını ve Crypter hizmetlerinin hızlı evrimini açıklayan güncellenmiş tehdit zekasının korunmasını içerir.
Güvenlik ekipleri ayrıca antivirüs yanlış sınıflandırmasının etkilerini dikkate almalı ve algılama yeteneklerinin satıcı tarafından sağlanan imzaların ötesine uzanmasını sağlamalıdır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.