Tehdit aktörleri kötü niyetli python kodunu dağıtmak için DLL yan yükleme tekniklerinden yararlanmaya başladıkça sofistike bir siber güvenlik tehdidi ortaya çıktı.
Bu saldırı vektörü, bilgisayar korsanlarının, meşru uygulamaların dinamik bağlantı kütüphanelerini (DLLS) arama ve yükleme şeklini kullanarak standart güvenlik kontrollerini atlamasına olanak tanır.
Teknik, saldırganların tehlikeye atılan uygulamanın ayrıcalıklarıyla keyfi Python kodu yürütmelerini sağlayarak hedeflenen sistemlere gizli ve kalıcı bir erişim noktası oluşturuyor.
DLL yan yükleme, saldırganların kötü niyetli DLL dosyalarını, meşru uygulamaların amaçlanan meşru kütüphaneler yerine yükleyeceği yerlere yerleştirdiği Windows DLL arama sipariş mekanizmasını kullanır.
Bu yöntem özellikle etkilidir, çünkü güvenilir uygulamalardan yararlanır ve kötü amaçlı yazılımların öncelikle şüpheli yürütülebilir ürünleri belirlemeye odaklanan güvenlik çözümleriyle algılamadan kaçınmasını sağlar.
İnternet Storm Center güvenlik araştırmacıları bu kampanyayı geçen hafta tespit etti ve saldırganların özellikle finans ve sağlık sektörlerindeki kuruluşları hedeflediğini belirtti.
Analizleri, kötü amaçlı yazılım operatörlerinin, geleneksel derlenmiş kötü amaçlı yazılımlara kıyasla daha fazla esneklik ve platformlar arası özellikler sunan Python tabanlı yükler sunmak için bu tekniği kullandıklarını ortaya koydu.
Saldırı, görünüşte iyi huylu bir ek içeren bir mızrak aktı e-postasıyla başlar. Açıldığında, ek belirli bir DLL yüklemeye çalışan meşru bir uygulama yürütür.
Saldırganlar, kötü niyetli DLL’lerinin ilk olarak arama yolunda bulunmasını ve yürütme akışını kaçırmalarını sağlar.
Yüklendikten sonra, kötü niyetli DLL bir Python tercümanını belleğe enjekte eder ve komut ve kontrol sunucuları ile kalıcılık ve iletişim kurarak gömülü python kodu yürütür.
DLL Yan Yükleme
Kötü niyetli DLL, meşru kütüphanenin dışa aktarılan işlevlerini taklit eder, ancak python komut dosyalarını şifresini çözen ve yükleyen ek kod içerir.
Örneklerin analizi, saldırganların gömülü python kodunu gizlemek için özel bir XOR tabanlı şifreleme algoritması kullandığını ortaya koymaktadır.
Meşru uygulama, gerçek DLL olduğuna inandığı şeyden dışa aktarılan bir işlevi çağırdığında, kötü amaçlı sürüm hem beklenen işlevselliği hem de gizli yükü yürütür.
.webp)
Çıkarılan Python kodu, sistem keşif, kimlik bilgisi hasat ve yanal hareket için sofistike modüller içerir.
Özellikle ilgili olanlardan biri, normal sistem işlemleriyle karışmak için “istekler” ve “pywin32” gibi meşru python kütüphanelerinin kullanılmasıdır.
Kötü amaçlı yazılım ayrıca, kötü amaçlı kodun çoğunun sadece bellekte bulunduğu ve algılama çabalarını daha da karmaşıklaştıran sözlü olmayan bir teknik uygular.
.webp)
Güvenlik uzmanları, kuruluşların uygulama beyaz listeleme uygulamasını, sistemleri yamalı tutmasını ve şüpheli DLL yükleme kalıplarını izleyen araçları kullanmasını önerir.
Ayrıca, DLL’leri ararken sistem dizinlerini tercih edecek pencereleri yapılandırmak birçok yan yükleme saldırısını azaltabilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.