.webp "Araştırmacılar Gizli C2 İletişimi İçin Zloader DNS Tüneli Taktiklerini Ortaya Çıkardı")
Zloader’ın (2.9.4.0) güncellenmiş bir sürümü keşfedildi; bu sürüm, komut ve kontrol (C2) bağlantıları için bir Etki Alanı Adı Sistemi (DNS) tüneli, uygulamalı klavye eylemi için etkileşimli bir kabuk ve durumu iyileştiren ek özellikler içerir. kötü amaçlı yazılımın anti-analiz yetenekleri.
Zloader’ın ortam kontrolleri ve API içe aktarma çözümleme algoritmaları gibi anti-analiz yöntemleri, statik imzalardan ve kötü amaçlı yazılım korumalı alanlardan kaçınmak için sürekli olarak geliştirilmektedir.
Tipik olarak Zloader (Terdot, DELoader veya Silent Night olarak da bilinir), 2015 yılında ortaya çıkan sızdırılmış Zeus kaynak kodu üzerine oluşturulmuş modüler bir Truva atıdır.
Kötü amaçlı yazılım başlangıçta bankacılık sektöründe banka havalelerini ve Otomatik Takas Odası (ACH) dolandırıcılığını mümkün kılmak için oluşturuldu.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Bununla birlikte, Zloader, Qakbot ve Trickbot gibi diğer kötü amaçlı yazılım aileleri gibi, fidye yazılımının dağıtımı için kurumsal ortamlara bir giriş noktası sunacak şekilde ilk erişim için yeniden tasarlandı.
Zloader, Microsoft Quick Assist, TeamViewer ve AnyDesk gibi Uzaktan İzleme ve Yönetim (RMM) çözümleriyle başlayan çok aşamalı bir enfeksiyon zinciri kullanılarak teslim edildi.
Ayrıca araştırmacılar, saldırı zincirinde GhostSocks adı verilen başka bir kötü amaçlı veri daha keşfettiler.
Zloader DNS Tüneli Taktikleri
ThreatLabz, Zloader’ın C2 iletişimindeki en önemli değişikliğin DNS tünellemesinin eklenmesi olduğunu bildiriyor.
Zloader, IPv4 kullanarak şifrelenmiş TLS ağ trafiğini tünelleyen DNS üzerinde özel bir protokol oluşturmak için Windows SSPI API’yi kullanır.
Zloader, DNS paketlerini oluşturmak ve ayrıştırmak için ne Windows API’yi ne de üçüncü taraf kitaplığını kullanır. Zloader DNS istekleri aşağıdaki biçimi kullanır:
.webp)
Başlığı oluşturan 14 bayt, 28 küçük harfli onaltılık sayıya çevrilir.
.webp)
Son iki alan mesaj türüne göre farklı anlamlara gelir ve bazı mesaj türlerinde kullanılmaz.
.webp)
Zloader DNS sunucusu, çeşitli amaçlar için IPv4 adresleri sağlayan A kayıtlarıyla yanıt verir.
Büyük miktarda veri aktarımı içerebilecek mesaj türü 0x7 paketleri için Zloader DNS sunucusu IPv6 AAAA kayıtlarıyla yanıt verir.
Zloader 2.9.4.0’da Tanıtılan Diğer Önemli Özellikler
Zloader 2.9.4.0 artık Zloader statik yapılandırmalarını şifrelemek için sabit kodlanmış düz metinli RC4 anahtarı kullanmayacak. Bunun yerine, RC4 anahtarı iki adet 16 baytlık karakter dizisinde bir XOR işlemi yürütülerek oluşturulur.
API içe aktarma çözümleme algoritmaları ve ortam kontrolleri gibi anti-analiz teknikleri sürekli olarak geliştirilmektedir.
Zloader 2.9.4.0’daki yeni bir özellik olan etkileşimli kabuk, tehdit aktörüne rastgele ikili dosyalar ve kabuk kodu çalıştırma, verileri dışarı çıkarma, işlemleri sonlandırma ve daha fazlasını yapma yeteneği verir.
Zloader’ın ana C2 iletişim yöntemi hala POST istekleriyle HTTPS’dir. Ancak Zloader’ın HTTP üstbilgileri değişti.
Örneğin, Kullanıcı Aracısı alanı artık PresidentPutin olarak ayarlanmıştır. Ayrıca Zloader, uzunluğu 32 ila 255 arasında değişen sözde rastgele alfabetik harflere ayarlanmış bir Rand HTTP başlık değeri ekler.
Rand alanı, istek TLS üzerinden iletildiğinden olası boyuta dayalı ağ algılamalarını önlemek için paket boyutunu değiştirir.
Zloader, WinINet API’sini kullanmak yerine TLS için Güvenlik Destek Sağlayıcı Arayüzünü (SSPI) kullanır.
Sonuç olarak tehdit grubu, fidye yazılımının ilk erişim aracısı olarak daha iyi hareket edebilmek için yeni özellikler ve yetenekler ekliyor.
En son Zloader yükseltmeleriyle şirketlerin hem web tabanlı hem de DNS tabanlı ağ trafiğini analiz ettiklerinden emin olmaları gerekiyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin