Bilgisayar korsanları, kurbanın bilgisayarına ve tüm işlevlerine yetkisiz erişim sağlamak ve tam kontrol sağlamak ve diğer kötü amaçlı yetenekleri etkinleştirmek için RAT’ları kullanır.
Tehdit aktörlerinin sistemi kontrol etmelerine ve amaçlarına yönelik faydalı bilgiler elde etmelerine olanak tanır.
Zscaler araştırmacıları yakın zamanda ValleyRAT şifre çalma tekniklerini detaylandırdı.
ValleyRAT Şifre Çalma Teknikleri
ValleyRAT, ilk kez 2023’ün başlarında gözlemlenen bir uzaktan erişim aracıdır. Temel amacı sistemlerin güvenliğini ihlal etmek ve yetkisiz erişim sağlamaktır. Yakın zamanda ValleyRAT’ın en son sürümünü çeşitli aşamalardan geçerek sunan yeni bir kampanya keşfedildi.
İlk indirici, DLL yükü de dahil olmak üzere XOR ve RC4 şifreli dosyaları getirir ve şifrelerini çözer.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
DLL, belirli güvenlik yazılımı işlemlerini kontrol eder ve sonlandırır, daha fazla dosya indirir ve ardından bir dosyayı yönetici ayrıcalıklarıyla çalıştırarak ikinci aşamaya geçilir.
Kampanya, bileşenleri ve C2 iletişimlerini indirmek için bir HFS sunucusu kullanıyor. Ayrıca ValleyRAT’ın en son sürümündeki anti-AV kaçırma taktiklerinin bir parçası olarak ekran görüntüsü alma ve günlükleri temizleme gibi yeni komutlarla yeteneklerini daha da genişletiyor.
Burada WINWORD2013.EXE, XOR ve RC4 şifreleme algoritmalarını kullanarak xig.ppt DLL dosyasını paketten çıkaran ve yükleyen kötü amaçlı wwlib.dll yükleyicisini dışarıdan yükler.
Askıya alınmış bir svchost.exe işleminde çalıştığında, Xig.ppt kendisini sisteme gömebilmek için kabuk kodunu enjekte eder ve sonuç olarak kalıcılık amacıyla WINWORD2013.EXE’yi otomatik çalıştırmaya ekler.
Enjekte edilen kabuk kodu, BKDR karmasını kullanarak API’leri dinamik olarak çözer, C2 ayrıntılarını içeren bir yapılandırmayı alır, şifrelenmiş 32 bitlik kabuk kodu yükünü almak için verileri gönderir, XOR 0x36 ile şifresini çözer ve bu sonraki aşama yükünü yürütür.
Kalıcılık, bileşen dosyalarını gizlerken yükleyicinin otomatik çalıştırmaya eklenmesiyle elde edilir. Bu kötü amaçlı yazılım, gizlilik için çok aşamalı yük dağıtımıyla süreç enjeksiyonu ve API çözümleme hileleri kullanır.
C2’den şifresi çözülmüş kabuk kodu tarafından yansıtıcı olarak yüklenen gömülü bir DLL, C2 ayrıntılarını içeren bir yapılandırma dizesini ayrıştırır. Ana bilgisayar, kayıt defterindeki belirli bir özelliği inceleyerek son yükünün zaten oluşturulup oluşturulmadığını kontrol eder.
Bulunamazsa, şifrelenmiş bir dize oluşturur ve bunu yükün verilerini indirmek için kullanılacak olan C2’ye gönderir. Bu veriler daha sonra kullanılmak üzere aynı kayıt defteri değerinde saklanır.
Son olarak, gömülü DLL dosyasını ValleyRAT’ın son yükü olarak yürütür ve Zscaler raporunu okur.
ValleyRAT’ın bu yinelemesinde, yeni cihaz parmak izi alanları tanıtıldı, bot kimliği oluşturma algoritması daha fazla sistem verisi içerecek şekilde değiştirildi ve yeni komutlar eklendi.
Bu kötü amaçlı yazılımın işlem ekleme, yapılandırma ayrıştırma ve kayıt defteri depolama gibi çok aşamalı yük taşıma teknikleri, virüs bulaşmış bir bilgisayarda gizliliğini ve kalıcılığını sağlar.
ValleyRAT, karmaşık enfeksiyon yöntemleri, DLL yan yüklemesi ve sürekli kod güncellemelerini kullanan, dedektörlerin EDR’leri ve anti-virüs çözümlerini dahil etmesini zorlaştıran son derece gelişmiş bir kötü amaçlı yazılımdır.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo