AsyncRAT, yetkisiz erişim sağlama ve virüslü sistemler üzerinde kontrol sağlama yeteneğiyle bilinen, açık kaynaklı bir uzaktan erişim Truva Atı (RAT) kötü amaçlı yazılımıdır. 2019 yılında piyasaya sürüldü.
Bilgisayar korsanları bunu aşağıdakiler de dahil olmak üzere çeşitli kötü amaçlı amaçlar için aktif olarak kullanır: –
- Veri hırsızlığı
- Sistem manipülasyonu
- Gözetim
- Siber casusluk
- Keylogging
- Teknik sızma
- Nihai yük teslimi için ilk erişim aşaması
AT&T’deki siber güvenlik araştırmacıları yakın zamanda AsyncRAT kötü amaçlı yazılımının 11 aydır aktif olarak ABD altyapısına saldırdığını keşfetti.
AsyncRAT Kötü Amaçlı Yazılım
APT Earth Berberoka bu RAT’ı kullandı ve yakın zamanda AT&T Alien Labs, Eylül ayında gif eklentileri olan kişileri hedef alan bir kimlik avı ağını fark etti ve şunlara yol açtı: –
- SVG dosyası
- Karmaşık JavaScript
- PowerShell betikleri
- AsyncRAT yürütme
Yükleyicinin aşamaları, AsyncRAT yükünü dağıtmadan önce kurbanın sanal alan olup olmadığını kontrol eden C&C sunucusu tarafından gizlenir. C&C, parametreler karşılanmadığında zararsız bir sayfaya yönlendirme yapar.
Kimlik avı yoluyla teslim edilen ve aşağıdaki gibi karmaşık dizelere sahip JavaScript dosyaları: –
- Melville
- kilise
- bölüm
- İskoç
Bu arada, yükleyici sürümleri, rastgele değişken adları, sabitler ve URL temsiliyle her kurban için farklılık gösterir. GET isteğinden sonra C&C, sabit kodlanmış bir anahtara karşı XOR’lanmış, Gunzip ile paketi açılmış ve PowerShell’de kusursuz bir şekilde çalıştırılan base64 betiğini gönderir.
1b (VM False) gibi C&C değerleri doğrudur, 2c (VMWare) ve diğer yanlış cevaplar ise daha yüksek değerlere sahiptir. C&C, geçerli yanıtlardan oluşan bir tabloya veya kaba kuvvetten kaçınmaya yardımcı olacak bir değer aralığına sahip olabilir.
Korumalı alan önleme tekniği, popüler sanal alanlardan kaçınır. Geçersiz yanıt, Google’a yönlendirme yapıyor veya geçici yüke ulaşan yeni bir komut dosyası döndürüyor[.]$url değişkeniyle sh.
Ancak bunun yanında sıcaklık[.]sh bağlantısı örnekler ve zaman açısından tutarlıdır, bu da dosyaların üç gün boyunca yeni rastgele URL yollarıyla barındırılmasına yardımcı olur.
Kod dinamik olarak değişir ve tespitten kaçınmak için büyük ölçüde gizlenir, ancak ağ altyapısı tutarlı kalır.
Örnekler sıklıkla güncellenen çeşitli alanları kullanır ve bunların arasında ortak alanlar şunları içerir: –
- sduyvzep[.]tepe
- kökenler[.]tepe
- berbat[.]tepe
Aşağıda, alan yapısının takip ettiği tüm özelliklerden bahsettik: –
- Üst Düzey Alan Adı (TLD): top
- 8 rastgele alfanümerik karakter
- Kayıt yaptıran kuruluş: ‘Nicenic.net, Inc’ (kayıt şirketi)
- Ülke kodu Güney Afrika (ZA)
- Kullanılmadan birkaç gün önce oluşturuldu
Alan Oluşturma Algoritması (DGA), her yedi günde bir benzersiz bir alan adı hesaplar ve her Pazar günü yeni bir alan adı üretir.
Yılın gününden türetilen tohum, kodlardaki diğer değişkenler ve karakterlerde yapılan değişiklikleri de içeren varyasyon modifikasyonlarına tabi tutulur.
Bu strateji, C&C alanını zaman içinde otomatik olarak değiştirerek tehdit aktörlerinin tespit ve engellemeden kaçınmasına yardımcı olur.
IOC’ler
