Çoğu antivirüs programı bu paketleyicileri tanıyabilecek şekilde kodlandığından, bilgisayar korsanları kodlarının tanınmasını zorlaştırmak için paketleyicileri kötü niyetli olarak kullanır.
Paketleyiciler, orijinal kötü amaçlı yazılım yükünü yeni bir biçimde başlatır ve şifreler; bu, imza algılamayı kullanarak tespit edilmesi zordur ve aynı zamanda paketleyicinin kendisine ters mühendislik yapılmasını da zorlaştırır.
Bunun dışında paketleyiciler güvenlik önlemlerinden kaçınmak için de kullanılabilir; kullanılabilecek teknikler kod enjeksiyonu ve işlem boşluğudur.
CheckPoint’teki siber güvenlik analistleri yakın zamanda bilgisayar korsanlarının kötü amaçlı yazılımları gizlemek için paketleyicilerden aktif olarak yararlandığını keşfetti.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Teknik Analiz
BoxedApp ticari paketleyicileri, çoğunlukla finans ve devlet sektörlerini hedef alan kötü amaçlı yazılım yaymak için onları kullanan tehdit aktörleri tarafından giderek daha fazla istismar ediliyor.
BoxedApp Packer ve BxILMerge gibi yaygın ürünlerin gelişmiş işlevleri, diğer şeylerin yanı sıra sanal dosya sistemlerini, kayıtları, işlemleri, API bağlamayı ve paketlemeyi içerir.
Araştırmacılar, bu özelliklerin saldırganların kötü amaçlı yazılımlarını gizlemesine, tespit mekanizmalarını atlamasına ve analizi zorlaştırmasına olanak tanıdığını söyledi.
BoxedApp ile paketlenecek bir uygulama için oluşturulan format, daha sonra paketlenen tek bir PE ikili dosyasıdır ve tüm Yok Edilen İçe Aktarmalar çalışma zamanında bir TLS Geri Çağırma’dan çözülür.
Bu, Sanal Depolamanın iki bileşenini oluşturur: Sanal Dosya Sistemi ve Sanal Kayıt Defteri.
Sonuç olarak BoxedApp, mevcut süreçle ilgili olmayan çağrıları göz ardı ederek, bu çağrıları işletim sistemine iletmek ve dosyaları diske yazmak yerine, I/O işlemlerini taklit eder ve bunları bu bellek içi Sanal Depolama içerisinde çalıştırır.
Ayrıca, içeriğini daha da gizleyen isteğe bağlı sıkıştırma yoluyla Sanal Depolama dosyasının içeriğini daha kompakt hale getirmek de mümkündür.
Ayrıca orijinal yürütülebilir dosyanın askıya alınmış herhangi bir işletim sistemi işlemine eklenmesiyle de oluşturulabilir.
Bu tür olasılıkları kullanan BoxedApp Packer ve BxILMerge gibi bazı araçlar, uygulamaların bağımlılıklarıyla birlikte sanallaştırılmış bir ortamda başlatılan tek bir yürütülebilir dosya içinde paketlenmesine olanak tanır.
Bir .NET uygulamasını BoxedApp Packer ile paketlerken, belirli bir DotNetAppStub yerel PE, orijinal .NET PE’yi Sanal Depolama ile birlikte .bxpck bölümüne sarar. Bu saplama, BoxedApp’i başlatır ve .NET PE’nin bellek içinde yürütülmesini sağlar.
BoxedApp’in sanal depolama sistemi, BxILMerge tarafından .NET derlemelerini, yönetilmeyen bağımlılıkları ve diğer dosyaları tek bir .NET derlemesinde birleştirmek için kullanılır.
Derlemenin özel çözümleyicisi, bu sanal dosyaların giriş ve çıkış işlemlerini, sabit diske hiçbir şey atmadan halleder.
Mümkün olmasına rağmen, dosyaların Sanal Depolamadan statik olarak açılması, paketlenmiş PE’nin bellekten dinamik olarak boşaltılması ve içe aktarma adresi tablosunun yeniden birleştirilmesi kadar çalışmaz; çünkü mevcut statik paket açma araçlarının görevlerini her zaman güvenilir bir şekilde yerine getirmediği durumlar vardır. .
BoxedApp ticari paketleyicilerinin kullanımı, özellikle RAT’leri ve hırsızları dağıtmak için kullanılan BoxedApp Packer ve BxILMerge biçiminde, geçtiğimiz yıl boyunca kayda değer bir artış eğilimi gördü.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo