İnternet Storm Center’da kıdemli bir işleyici olan Xavier Mertens’in yakın tarihli bir keşfi, bilgisayar korsanlarının kötü amaçlı Python kodunu dağıtmak için DLL yan yüklemesini kullandığı sofistike bir saldırıyı vurguladı.
Bu teknik, bir uygulamanın meşru bir yerine kötü amaçlı bir DLL yüklenmesi için kandırmayı ve saldırganların güvenlik araçlarıyla algılamadan kaçarken kötü amaçlı kod yürütmesine izin vermeyi içerir.
Saldırı Vektörü
Saldırı, PDF okuyucusu olarak gizlenmiş hootsuite.exe adlı bir dosya içeren “Hootsuite (1) .zip” adlı bir zip arşivi ile başlar.
Bu yürütülebilir ürün, DLL yan yükleme kırılganlığına sahip olduğu bilinen eski Haihaisoft PDF okuyucusunun bir kopyasıdır. Normal bir dizinden yürütüldüğünde, beklendiği gibi çalışır.
Ancak, ZIP arşivinden çıkarılan dizinden çalıştırıldığında, meşru Microsoft sürümü yerine kötü amaçlı bir MSimg32.dll yükler.
Bu kötü niyetli DLL, performans hususları nedeniyle güvenlik araçları tarafından algılanmayı önleyecek olan resmi olandan önemli ölçüde daha büyüktür.
Yürütme üzerine, PDF okuyucunun davranışı, hata ayıklama yoluyla doğrulandığı gibi önemli ölçüde değişir.
Saldırı, bir Python ortamının ambalajını ve kurulmasını, bir python botunun getirilmesini ve şüpheli işlem adlarını izleyen güvenlik kurallarını atlamak için yeniden adlandırılan bir “synaptics.exe” kullanarak yürütmeyi içerir.
Kalıcılık, başlangıçta bir toplu komut dosyası çalıştıran bir kayıt defteri girişi eklenerek elde edilir ve sistem yeniden başladıktan sonra bile kötü amaçlı yazılımın aktif kalmasını sağlar.
Kaçma teknikleri ve kalıcılık
Saldırganlar, basit güvenlik kurallarına göre algılamayı önlemek için Python yürütülebilir dosyasının “synaptics.exe” olarak yeniden adlandırılması da dahil olmak üzere çeşitli kaçınma tekniği kullandılar.
Ayrıca, başlangıçta çalışan bir toplu komut dosyası oluşturmayı içeren kalıcılığı uygulamak için Base64 kodlu bir dize kullandılar.
Rapora göre, bu komut dosyası, daha fazla tespitten kaçınmak için meşru bir Windows aracı olan Certutil kullanılarak kodlanır ve kodlanır.
Kötü niyetli olmayan bir tuzak PDF dosyasının kullanılması, meşruiyet yanılsamasını korumak için varsayılan sistem görüntüleyicisinde açılan bir dikkat dağıtıcı görevi görür.
Bu olay, meşru uygulamalar bağlamında kötü amaçlı kod yürütmek için Windows’un DLL yükleme davranışını kullanan bir teknik olan DLL sideloading’den yararlanan saldırıların artan sofistike olmasının altını çiziyor.
Bu tür tehditlere karşı korunmak için, özellikle Python ve diğer senaryo dillerinin kapsamlı bir şekilde kullanıldığı ortamlarda güçlü güvenlik önlemlerine duyulan ihtiyacı vurgulamaktadır.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.