ArmouryLoader ve diğer kötü amaçlı kod yükleyicileri, sürekli değişen siber saldırılar dünyasında saldırıya uğramış sistemlere Truva Tipi yükleri tanıtmak için temel araçlar haline gelmiştir.
İlk olarak 2024’te belirlenen ArmouryLoader, çok aşamalı yürütme zincirlerini başlatmak için Armourya.dll’deki freebuffer gibi ihracat işlevlerini ele geçirerek Asus Armory Crate yazılımından yararlanıyor.
Bu yükleyici, EDR-EDR özelliklerini dahil ederken ayrıcalık artış, kalıcılık ve yük dağıtımını kolaylaştırır ve duman yükleyici ve coffeeloader gibi sonraki kötü amaçlı yazılımların sistem savunmalarından kaçınmasını sağlar.
Armourypourer, OpenCL’yi kaldırarak GPU veya 32 bit CPU ortamlarını zorunlu kılar, kum havuzlarını ve sanal makineleri etkili bir şekilde atar.
Ayrıca, meşru DLL’lerden gadget tabanlı bellek okumaları kullanır ve sistem çağrısı kökenlerini gizlemek, gizliliğini arttırmak ve yük teslimat başarı oranlarını artırmak için dövme çukurları kullanır.
Antiey Cert’in özel raporuna göre, bu teknikler yükleyicinin sofistike saldırı zincirlerindeki rolünün altını çizerek son nokta güvenliği için önemli riskler oluşturuyor.
Kötü amaçlı yazılım dağıtım zincirlerinde ortaya çıkan tehdit
ArmouryLoader’ın Gizli Arsenal, işe yaramaz talimatların eklenmesini, kendi kendini ortadan kaldıran kod segmentlerini ve sekiz aşamalı işleminde OpenCl tabanlı şifre çözme içerir.
Birinci ve üçüncü aşamalarda, gereksiz opcodes kodu statik analizi engellemek için karıştırırken, aşamalar iki, dört ve altı özelliği katmanlı XOR kendi kendine dekorpsiyon döngüleri.
Üçüncü aşama, OpenCL’yi NVIDIA, AMD veya Intel cihazları aracılığıyla kabuk kodunu şifresini çözmek için çağırır ve XOR operasyonları dizesi aracılığıyla anahtarlar üretir.
Beşinci aşamadaki ayrıcalık artışı, explorer.exe’yi taklit eder ve yönetici hakları için CMSTPLUA com bileşenini, CMLUAUTIL kullanan yeni varyantlarla kullanır.
Kalıcılık, ayrıcalıklara bağlı olarak her 30 veya 10 dakikada bir çalıştırılan, gizli, salt okunur özellikler ve kullanıcı erişimini reddeden ACL değişiklikleri ile her 30 veya 10 dakikada bir çalıştırılan planlanmış görevler yoluyla elde edilir.
Karşı önlemler arasında Halo’nun Syscall sayısı çıkarma kapısı, kaçan kancalar ve geri izlemeye karşı yığın izleri oluşturmak için ROP zincirleri yer alıyor.
Yedinci Aşama’da, Cennetin Kapısı Dllhost.exe’de 32 bit ortamlardan geçiş yaparken 64 bit kod yürütülmesini sağlarken, sekiz aşama NTallocateVirtualMemory gibi syscalls aracılığıyla bellek tahsis eder, Mov Rax,[rax]; ret; Dolaylı okumalar ve JMP için [rbx] Kontrol akışı yeniden yönlendirme için.
Saldırı süreci aşamalı olarak ortaya çıkıyor: Birinci Aşama, kabuk kodunu çalıştırmak için ihracatı kaçırır; Aşamalar bile PE dosyalarını çözer ve yükler; Garip aşamalar, OpenCL şifresini çözme, tırmandırma ve enjeksiyon gibi davranışları ele alır.
1.41 MB X86 Armourya.dll (MD5: 5A31B05D53C39D4A19C4B2B66139972F) ‘nin örnek analizi, ağır şaşkınlık, geçersiz ASUS imzaları ve PEB yoluyla dinamik API çözünürlüğü ortaya çıkarır.
ATT & CK eşlemeleri, planlanan görevler (T1053), COM kötüye kullanımı (T1546) yoluyla ayrıcalık artışı, deobfuscation ve syscall dolaylığı (T1140, T1620) ve gizlenmiş dosyalar (T1027) yoluyla ayrıcalık artışını vurgulamaktadır.
Antiey’nin Zhijia ürünleri bunları gerçek zamanlı izleme ve çekirdek düzeyinde savunmalarla tespit eder, dosya eklemeleri konusunda uyarır ve merkezi tehdit yönetimini mümkün kılar.
Uzlaşma göstergeleri
| IOC Türü | Değer |
|---|---|
| MD5 karma | 5A31B05D53C39D4A19C4B2B66139972F |
| MD5 karma | 90065F3DE8466055B59F5356789001BA |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!