2020’deki ViperSoftX kötü amaçlı yazılımının arkasındakiler gibi gelişmiş tehdit aktörleri, zamandan ve kaynaklardan tasarruf etmek için genellikle mevcut araçları kullanırlar.
ViperSoftX, AutoIt, CLR ve önceden hazırlanmış hackleme betiklerini kullanır. Bu, kötü amaçlı yazılımları daha hızlı geliştirmelerine ve tespit edilmekten kaçınmalarına yardımcı olur. Bu, gelişmiş siber saldırıların bile her zaman tamamen özel kod gerektirmediğini gösterir.
Bilgisayar korsanları ağlara girmek ve verileri çalmak için bu kısayolları kullanırlar. Bu nedenle, zararlı faaliyetleri gizleyebilen AutoIt gibi araçlara karşı güçlü savunmalara sahip olmak önemlidir.
Trellix’teki siber güvenlik araştırmacıları yakın zamanda ViperSoftX kötü amaçlı yazılımının kaçınma taktiklerini ve tekniklerini ortaya çıkardı.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
ViperSoftX Kötü Amaçlı Yazılımının Kaçınılması
AutoIt, Windows için ücretsiz bir otomasyon aracıdır. ViperSoftX ile çalışanlar da dahil olmak üzere kötü amaçlı yazılım yazarları bunu yaygın olarak kullanır.
Bunun sebebi klavye vuruşlarını, fare hareketlerini, Pencere/Kontrol manipülasyonlarını simüle edebilme gibi güçlü özellikleridir.
Kötü amaçlı kodların boyutunu küçültmek ve gelişmiş kaçınma sağlamak için AutoIt’in basit sözdizimini, zengin fonksiyon kütüphanesini ve komut dosyalarını .exe dosyalarına derleme özelliğini kullanırlar.
AutoIt, ViperSoftX için kullanılan POV’lardan biridir, çünkü powershell kodlarını sahte JPG dosyalarına (jpg) gizlemek gibi faaliyetlerini maskelemeye izin verir. Bunun dışında, aşağıda tehdit aktörlerinin AutoIt’i tercih etmelerinin tüm temel nedenlerini belirttik:
- Kaçınma
- Kullanım Kolaylığı
- Hızlandırılmış Gelişim
Trellix araştırmasına göre, ViperSoftX, kötü amaçlı yazılım yaratıcılarının fikir veya zaman eksikliğinden kaynaklanan geliştirme çabalarını hızlandırarak kontrolü atlatmaya yönelik istekliliklerindeki değişikliği gösteriyor.
Tehdit aktörleri, AutoIt gibi normal yürütülebilir araçları kullanırken ve PowerShell etkinliğini gizlemek için CLR’yi stratejik olarak entegre ederken, siber güvenliğe risk oluşturan kaçınma tekniklerini kullanırken modernleşiyorlar.
Trellix, bu tehdidi önlemek için çok katmanlı bir yaklaşımla kapsamlı, entegre bir tamamlayıcı çözümler paketi sunuyor.
Bu tür gelişmiş kötü amaçlı yazılımlarla başa çıkmak için siber güvenlik ekiplerinin EDR ve XDR platformlarını içeren çok katmanlı bir savunma yaklaşımını benimsemesi esastır.
Uç noktalardaki aktiviteyi izleme, çeşitli kaynaklardan uyarı alma ve MITRE ATT&CK çerçevesinden gelen saldırılarda kullanılan TTP’leri belirleme yeteneğini destekler ve kötü amaçlı yazılım aktivitelerini analiz etmek için bir sanal alan ortamının yanı sıra antivirüs benzeri engelleme özellikleri sağlar.
Bununla da kalmayıp, bu çözümler ViperSoftX gibi kötü amaçlı meşru araçları kullanan karmaşık saldırılara karşı hızlı tehdit tespiti, soruşturması ve müdahaleyi de destekliyor.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!