Fileless kötü amaçlı yazılım, tamamen bellekte çalışan ve disk tabanlı algılama olan güvenlik ekipleri için zorlu bir düşman haline geldi.
Yakın tarihli bir olay, saldırganların, güçlü bir uzaktan erişim Truva (sıçan) olan Asyncrat’ı meşru sistem araçları aracılığıyla dağıtmak için çok aşamalı bir yükleyiciden nasıl yararlandığını gösteriyor-diskte neredeyse hiç ayak izi yok.
Bu vaka çalışması, kalıcılık, kaçırma ve kontrol için kritik teknikleri vurgulamaktadır, ileri davranışsal izleme ve bellek-forensik yeteneklere acil ihtiyacın altını çizmektedir.
İzinsiz giriş, geçerli ancak tehlikeye atılmış bir ScreAncect istemcisi saldırgana etkileşimli erişim sağladığında başladı.
Kötü amaçlı alandan bağlanarak relay.shipperzone[.]onlinetehdit oyuncusu hedef uç noktası üzerinde uzaktan kumanda kazandı.
İçeri girdikten sonra bir VBScript (Update.vbs) iki ek yük almak için hemen bir PowerShell komutunu başlatan WScript’i kullanarak –logs.ldk Ve logs.ldr– Uzak bir sunucudan.
Her iki dosya da sessizce yazıldı C:\Users\Public\ dizin, ancak bunları diskten yürütmek yerine, komut dosyası dönüştürüldü logs.ldk bir bayt dizisine ve yüklendi logs.ldr doğrudan yansıma yoluyla belleğe.
Komut dosyası daha sonra kodlanmış verileri HTTP üzerinden aldı, anında kodladı ve bir .NET düzeneğinde dinamik olarak çağrıştırdı.
Bu filessiz yaklaşım, diskte herhangi bir yürütülebilir dosyanın görünmediği anlamına geliyordu ve düşmanın imza tabanlı antivirüs araçlarını tamamen atlamasını sağladı.
Aşama 1: Obfuscator.dll-bellek içi
Birinci aşama yükü bellekte ikamet ettikten sonra, DNSPY kullanan Level Blue tehdit araştırmacıları tarafından analiz edilen bir .NET montajı olan obfuscator.dll yükledi.
Obfuscator.dll, kalıcılık ve savunma kaçakçılığını düzenleyen bellek içi fırlatıcı olarak hizmet eder:
- Giriş sınıfı: Diske dosya yazmadan CLR ortamını başlatır.
- Çekirdek sınıfı: Sistem yeniden başlatıldıktan sonra montajın yeniden yüklenmesini sağlayarak “Skype Update” olarak gizlenmiş planlanmış bir görev oluşturarak kalıcılık oluşturur.
- TAFCE5 Sınıfı: Anti-analiz rutinleri içerir:
PatchAMSI()VePatchETW()Windows Güvenlik Etkinlik Günlüğü ve Komut Dosyası Taramasını Devre Dışı Bırakın.- Dinamik API çözünürlüğü
GetProcAddress()VeGetModuleHandle()Statik ithalat oyuncusu denetimlerini engeller.
Bu modüler tasarım, yükleyicinin kritik savunmaları susturmasına, gizli tutmasına ve çevreyi ana sıçan yükü için hazırlamasına olanak tanır.
Aşama 2: asyncclient.exe
Savunmalar nötralize edildiğinde, yükleyici, sıçanın operasyonel çekirdeği olan asyncclient.exe getirdi ve şifre çözdü. Asyncclient.exe, uzun vadeli erişimi sürdürmek için gelişmiş şifreleme ve özel bir iletişim protokolü kullanır:
- Konfigürasyon şifre çözme: Gömülü Base64 ayarları AES-256 ile şifre çözülmüştür ve C2 uç noktalarını ortaya çıkarır (
3osch20[.]duckdns[.]org), kalıcılık bayrakları, hedef dizinler (%AppData%) ve benzersiz bir donanım kimliği. - C2 İletişim: Bir TCP soketi, 4 bayt uzunlukta öne çıkan MessagePack paketlerini kullanarak bir kalp atışı korur ve gizli komut gönderimi ve veri açığa çıkmasını sağlar.
- Keşif: Sıçan, yüksek değerli hedefleri haritalamak için OS detayları, ayrıcalık seviyeleri, antivirüs durumu, aktif pencere başlıkları ve metamask ve fantom gibi tarayıcı uzantılarını toplar.
- Pespiltrasyon ve keyloglama: Yakalanan veriler – pano içeriği, kimlik bilgileri ve tuş vuruşları dahil – C2’ye gönderilmeden önce şifrelenir ve geçici olarak saklanır. Bir Windows Hook geri arama, sıçanın keşif yeteneğini artıran kullanıcı girişini kaydeder.
Kalıcılık, obfuscator.dll’de orijinal olarak bulunan işlevleri kullanarak planlanan görevleri yeniden oluşturarak güçlendirilir ve bir mekanizma başarısız olsa bile bir yedeklemenin aktif kalmasını sağlar.
Savunma önlemleri
Bu olay, filtressiz yükleyicilerin geleneksel savunmaları yenmek için meşru yönetim araçlarını nasıl silahlandırabileceğini vurgulamaktadır. Bu tür tehditlere karşı koymak için kuruluşlar şunlar olmalıdır:
- Anormal kod enjeksiyonunu ve yansıma tabanlı montaj yüklerini tespit etmek için bellek forensik izlemeyi dağıtın.
- Olağandışı uzaktan yük alma işlemlerini işaretlemek için komut dosyalarında (PowerShell, WScript) komut dosyalarında davranışsal analizleri etkinleştirin.
- Planlanan görevlerin oluşturulmasını ve görev zamanlayıcı günlüklerini izleyerek bitiş noktası yapılandırmalarını sertleştirin.
- Screenconnect gibi uzaktan yönetim araçları için katı beyaz liste politikalarını koruyun ve yetkisiz kullanımı önlemek için çok faktörlü kimlik doğrulamasını uygulayın.
IOC’lerin tam bir dökümü, tam ayrıştırılmış kod snippet’leri ve önerilen Yara kuralları için raporun tamamını buradan indirin.
Bu derinlemesine analiz, savunucuları hedeflenen algılama imzaları oluşturmak, olay müdahale oyun kitaplarını geliştirmek ve gelişmekte olan evrimleşmeyen kötü amaçlı yazılım kampanyalarına karşı bellek tabanlı savunmaları güçlendirmek için gereken zeka ile donatır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.