Bilgisayar korsanları, meşru bir uygulamayı kötü amaçlı bir DLL yüklemesi için kandırarak kötü amaçlı kod yüklemelerine olanak tanıdığı için, savunmasız uygulamalardan yararlanma tekniği olarak DLL ele geçirmeyi tercih ediyor.
Bu, onlara bir sistem veya uygulama üzerinde yetkisiz erişim ve kontrol sağlayarak aşağıdakiler gibi çeşitli saldırı türlerine olanak sağlayabilir: –
- Ayrıcalık artışı
- Veri hırsızlığı
- Sistem uzlaşması
Aktif bir tehdit, bir Infostealer’ın meşru bir EXE dosyasını, aynı dizinde gizli bir kötü amaçlı DLL dosyasıyla birlikte dağıtmasını içerir.
Meşru EXE, genellikle kötü amaçlı yazılım dağıtımı için kullanılan, DLL ele geçirme olarak bilinen bir teknik olan kötü amaçlı DLL’yi çalıştırır.
Yasal EXE Dosyaları İçeren Kötü Amaçlı DLL
Yazılım çatlağı gibi görünen kötü amaçlı yazılımlar hızla büyüyor ve DLL ele geçirmeyi kullanan tehdit aktörleri tarafından dağıtılıyor.
Crackli yazılım arayan kullanıcılar kötü amaçlı sitelere yönlendiriliyor ve indirilenler şifrelerle şifrelenmiş RAR dosyaları oluyor.
ASEC raporuna göre EXE çalıştırmak sisteme virüs bulaştırıyor ve genellikle geçerli imzalara sahipler, bu nedenle crackli yazılımlara karşı her zaman dikkatli olun.
Kötü amaçlı DLL’ler, yakındaki bir dosyadaki verilerin şifresini çözüp çalıştırırken meşru DLL’lerin bir kısmını değiştirir. Verilerin bu şekilde gizlenmesi, DLL görünümünün değiştirilmesini önleyerek algılama riskini azaltır.
Kötü amaçlı yazılımın çalışması için aşağıdaki öğelerin aynı klasöre yerleştirilmesi gerekir: –
Şifre korumalı dosyayı “2023” koduyla açmak size aşağıdaki dosyaları verir: –
Aşağıdaki iki dosya, geçerli imzalara sahip orijinal VLC dosyalarıdır: –
“libvlccore.dll” değiştirilmiş ve eşleşen bir imzadan yoksundur, bu nedenle demux ve lua gibi ekstra dizinler onun kötü niyetli doğasını maskelemeye hizmet eder.
‘Setup.exe’ çalıştırıldığında ‘libvlccore.dll’ etkinleştirilir ve aynı klasördeki ‘ironwork.tiff’ dosyasını okuyan ve şifresini çözen değiştirilmiş bir işlev tetiklenir. Bu dosya kod bilgilerini içerir. PNG olarak gizlenmiş.
SysWow64’ten “pla.dll” dosyasını yükler ve kodu, tipik kötü amaçlı yazılımlardan farklı şekilde belleğine enjekte eder. Bu yöntem NTDLL yeniden konumlandırmasını kullanır ve “cmd.exe” için “pla.dll” dosyasını yükler ve kötü amaçlı yazılımı ona enjekte eder.
%TEMP%’ye bir veri dosyası yazılır. cmd.exe onu devralır ve Giriş Noktası “pla.dll” koduna değiştirilir. Bu kod bir dosyanın şifresini çözer, LummaC2 kötü amaçlı yazılımını oluşturur ve ikili dosyayı enjekte edip çalıştıran “explorer.exe”yi çalıştırır.
LummaC2, kurbanları hedef alıyor ve C2 sunucusundan kötü amaçlı yazılım yüklüyor ve C2’den gelen JSON biçimli yanıtları kullanarak çeşitli hassas verileri çalıyor.
Kötü amaçlı yazılım, orijinal DLL’lere benzeyen meşru EXE dosyaları aracılığıyla bulaşır ve düşük tespit riski oluşturur.
IOC’ler
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.