Araştırmacılar, gizli kontrol için DNS ve ICMP tetikleyicileri kullanarak mystrodx arka kapıyı uyarıyor


02 Eylül 2025Ravie LakshmananSiber Casusluk / Ağ Güvenliği

Mystrodx arka kapı

Siber güvenlik araştırmacıları Mystrodx Bu, tehlikeye atılan sistemlerden hassas verileri yakalamak için çeşitli özelliklerle birlikte gelir.

Qianxin Xlab, geçen hafta yayınlanan bir raporda, “MyStrodx, C ++ ‘da uygulanan, dosya yönetimi, bağlantı noktası yönlendirme, ters kabuk ve soket yönetimi gibi özellikleri destekleyen tipik bir arka kapıdır.” Dedi. “Tipik arka kapılara kıyasla, MyStrrodx gizli ve esneklik açısından öne çıkıyor.”

Chronosrat olarak da adlandırılan MyStrodx, ilk olarak geçen ay Palo Alto Networks Unit 42 tarafından CL-Sta-0969 adlı bir tehdit faaliyet kümesiyle bağlantılı olarak, sergilerin Liminal Panda olarak adlandırılan bir Çin-nexus siber casusluk grubuyla örtüştüğünü söyledi.

Denetim ve ötesi

Kötü amaçlı yazılımların gizliliği, kaynak kodunu ve yükleri belirsiz olarak çeşitli şifreleme kullanımından kaynaklanırken, esnekliği, ağ iletişimi için TCP veya HTTP’yi seçmek veya ağ trafiğini güvence altına almak için düz metin veya AES şifrelemesini seçmek gibi bir yapılandırmaya dayalı farklı işlevleri dinamik olarak etkinleştirmesine izin verir.

MyStrodx ayrıca uyandırma modu denilen şeyi destekler, böylece özel hazırlanmış DNS veya ICMP ağ paketlerinin gelen trafikten alınmasından sonra tetiklenebilen pasif bir arka kapı olarak işlev görmesini sağlar. Yapılandırmada ayarlanan bir etkinleştirme zaman damgasına dayanarak, kötü amaçlı yazılımın en az Ocak 2024’ten beri var olabileceğini gösteren kanıtlar vardır.

“Sihirli değer doğrulandı, mystrodx C2 ile iletişim kurar [command-and-control] Belirtilen protokolü kullanarak ve daha fazla komutu bekliyor, “dedi XLab araştırmacıları.” TCP başlık alanlarını komutları gizlemek için manipüle eden Synful Knock gibi iyi bilinen gizli sırtların aksine, MyStrrodx daha basit ancak etkin bir yaklaşım kullanır: aktivasyon talimatlarını ICMP paketlerinin veya DNS Query Doması’ndaki aktivasyon talimatlarını doğrudan gizler. “

Kötü amaçlı yazılım, mevcut işlemin hata ayıklayıp hata ayıklayıp çıkmadığını veya sanallaştırılmış bir ortamda çalıştırıldığını belirlemek için hata ayıklayıcı ve sanal makine ile ilgili kontrollerden yararlanan bir damlalıkla teslim edilir. Doğrulama adımı tamamlandıktan sonra, sonraki aşamalı yük çözülür. Üç bileşen içerir –

  • Gündüz, Chargen’i başlatmaktan sorumlu bir başlatıcı
  • Chargen, mystrodx arka kapı bileşeni ve
  • Şişe kutusu
CIS Yapı Kitleri

MyStrodx, bir kez yürütüldüğünde, gündüz sürecini sürekli olarak izler ve eğer çalışmadığı tespit edilmezse hemen başlatır. AES algoritması kullanılarak şifrelenen yapılandırması, C2 sunucusu, arka kapı tipi ve ana ve yedek C2 bağlantı noktaları ile ilgili bilgiler içerir.

Xlab, “Arka kapı türü 1 olarak ayarlandığında, MyStrodx pasif arka kapı moduna girer ve bir aktivasyon mesajı bekler.” Dedi. “Arka kapı türünün değeri 1 olmadığında, MyStrodx etkin arka kapı moduna girer ve yapılandırmada belirtilen C2 ile iletişim kurar ve alınan komutları yürütmeyi bekler.”



Source link