Cyble araştırmacıları, güvenlik araçları tarafından büyük ölçüde fark edilmeyen yeni bir yükleyici oluşturucuyu ve gizleme aracını ortaya çıkardı.
Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) araştırmacıları bulgularını bugün bir blog yazısında detaylandırdılar. Araştırmacılar, GitHub’da bulunan “MisterioLNK” yükleyici oluşturucusunun, “bu araç tarafından oluşturulan dosyalar şu anda geleneksel güvenlik sistemleri tarafından minimum veya sıfır algılama oranları sergilediği için güvenlik savunmalarına önemli bir zorluk teşkil ediyor” diye yazdı.
MisterioLNK açık kaynaklı yükleyici oluşturucu, gizlemeyi kullanırken kötü amaçlı yükleri yürütmek için Windows komut dosyası motorlarından yararlanır. Cyble, “Gizli bir şekilde çalışacak, dosyaları başlatmadan önce geçici dizinlere indirecek, böylece kaçınma yeteneklerini geliştirecek ve geleneksel güvenlik önlemleriyle tespit edilmesini zorlaştıracak şekilde tasarlandı” dedi.
MisterioLNK, HTA gizleme için destek ekleme planlarıyla birlikte VBS, CMD ve BAT için gizleme yöntemlerinin yanı sıra beş yükleyici yöntemini (HTA, BAT, CMD, VBS ve LNK) destekler. Proje şu anda beta aşamasındadır ve geliştirici “bu yazılım kullanılarak gerçekleştirilen yasa dışı faaliyetlere ilişkin her türlü sorumluluğu reddeder.”
Tehdit Aktörleri Kötü Amaçlı Yazılım Yaymak İçin MisterioLNK Kullanıyor
Güvenlik araçları yükleyici oluşturucuyu tespit etmekte zorlanırken, siber suçlular görünüşe göre onu bulmakta hiç sorun yaşamamışlar. Cyble araştırmacıları, tehdit aktörlerinin (TA’lar) Remcos RAT, DC RAT ve BlankStealer gibi kötü amaçlı yazılımları dağıtmak için gizlenmiş dosyalar oluşturmak amacıyla MisterioLNK’yi kullanmaya başladığını söyledi. Raporda, “Endişe verici bir şekilde, bu yükleyiciler tespit edilmekten büyük ölçüde kaçıyor ve çoğu güvenlik sağlayıcısı tarafından tespit edilemiyor” denildi.
Araştırmacılar, tespitten kaçma yeteneklerini değerlendirmek için tüm yükleyici dosyası kombinasyonlarını oluşturdular. Altı dosyadan yalnızca biri 16 algılamayla algılandı, iki dosyanın her birinde bir algılama vardı ve üç dosyada sıfır algılama görüldü. Güvenlik satıcıları, geliştirici tarafından üretilen LNK ve karartılmış VBS yükleyicilerini tespit etmekte bir miktar başarı elde ediyor ancak BAT, CMD, HTA ve VBS yükleyici dosyalarının tespit oranları düşüktü (aşağıdaki resim).
Misterio’nun Yükleyici Oluşturucusu, Gizleyici ve LNK Modülleri
Cyble, .NET tabanlı bir araç olan Misterio.exe’nin iki ana modülden oluştuğunu söyledi: bir yükleyici oluşturucu ve bir gizleme aracı.
Araştırmacılar, “Oluşturucu, kötü amaçlı bir ikinci aşama veriyi barındıran bir URL’yi kabul eder ve kullanıcının seçimine göre BAT, CMD, HTA, LNK veya VBS dosyaları oluşturur” dedi. Bu dosyalar URL’ye bağlanmak, yükü indirmek ve yürütmek için tasarlanmıştır.
BAT/CMD yükleyicisi, ‘curl’ komutunu kullanarak belirtilen URL’lerden dosyaları indirmek ve ardından indirilen dosyaları yürütmek üzere tasarlanmıştır. Ortaya çıkan komut dosyası, daha fazla aldatma için özel bir dosya simgesiyle kaydedilir ve gizleme, ek bir gizleme katmanı ekler.
HTA (HTML Uygulaması) yükleyicisi, dosyaları indirmek ve çalıştırmak için komutları yürütmek üzere JavaScript ve ActiveX nesnelerini kullanır. HTA gizleme özelliği şu anda etkin değil ancak gelecekte uygulanabilir.
VBS Yükleyici, hedef dosyayı indirmek ve yürütmek için kabuk nesnesi komutlarını kullanır ve ayrıca bir gizleme işlemi içerir.
LNK Yükleyici Oluşturucusu, yürütüldüğünde hedef dosyayı indirip çalıştırma komutunu tetikleyen bir kısayol dosyası (.lnk) oluşturur.
Araştırmacılar, “Bu modüller birlikte, yükleri minimum tespitle sunabilen ve çalıştırabilen komut dosyaları oluşturmak ve gizlemek için güçlü bir araç seti oluşturuyor” dedi.
Cyble’ın Tavsiyeleri
Güvenlik ekipleri, güvenlik çözümlerinin MisterioLNK Builder tarafından oluşturulan gizleme modellerini ve komut dosyası formatlarını tanıyabildiğinden ve tespit edebildiğinden emin olmalı ve savunmalarına kısıtlama politikaları ve davranışsal tespit stratejileri de eklemelidir.
Cyble blogunun tamamı MisterioLNK’nin yeteneklerini daha ayrıntılı olarak ele alıyor ve ayrıca MITRE ATT&CK Tekniklerini ve uzlaşma göstergelerini (IoC’ler) listeliyor.