Yakın tarihli bir siber güvenlik tehdidinde, bilgisayar korsanları Venomrat kötü amaçlı yazılımlarını dağıtmak için sanal sabit disk görüntü dosyalarını (.vhd) kullanıyor ve güvenlik önlemlerini atlamak için yeni bir teknikten yararlanıyor.
Bu kampanya, bir satınalma siparişi kullanan bir kimlik avı e -postasıyla başlar ve kullanıcıları ekli bir arşiv dosyası açmaya ikna eder.
Çıkarma üzerine arşiv, açıldığında kendisini sabit disk sürücüsü olarak monte eden bir .vhd dosyasını ortaya çıkarır.
Bu sanal sürücünün içinde, PowerShell kullanarak kötü amaçlı etkinlikler yürüten ve sonuçta komuta ve kontrol (C2) sunucularına hassas bilgiler gönderen bir toplu komut dosyası bulunur.
Venomrat saldırı zinciri
Saldırı zinciri birkaç aşama içerir. Başlangıçta, kimlik avı e -postası kullanıcıları .vhd dosyasını açmaya yönlendirir.
Dosya monte edildikten sonra, çöp karakterleri, baz64 ve AES şifrelemesi ile büyük ölçüde gizlenmiş bir toplu komut dosyası yürütür.
Bu senaryo, daha fazla kötü niyetli işlem yapmak için bir PowerShell süreci ortaya çıkarır.
Kullanıcının dizininde bir kopyasını oluşturur, sistem kayıtlarını değiştirir ve kalıcılığı sağlamak için başlangıç klasörüne bir CMD komut dosyası bırakır.
Komut dosyası ayrıca C2 bilgilerinin depolandığı Pastebin.com’a bağlanır ve AppData/Roaming Dizinine datalogs.conf adlı bir dosya bırakır.
Bu dosya, daha sonra C2 sunucularına gönderilen tuş vuruşlarını ve diğer hassas verileri yakalamak için kullanılır.
Toplu komut dosyasının yürütülmesi birkaç önemli etkinlik içerir.
Ağ bağlantılarına bağımlılık görevi gören ve sistem kontrolleri gerçekleştiren bir yapılandırma dosyasıyla birlikte .NET derlenmiş bir yürütülebilir dosyası oluşturur.
Yapılandırma dosyası, HVNC hizmeti kullanılarak Venomrat’ın varlığını ortaya çıkarır ve şifre çözme için kullanılan bir AES tuşunu belirtir.
Kötü amaçlı yazılım, C2 altyapısını barındırmak için Pastebin gibi meşru hizmetleri kullanır ve bu da tespit edilmesini zorlaştırır.
Koruma ve azaltma
Bu tehditle mücadele etmek için, ForcePoint tarafından sunulanlar gibi siber güvenlik çözümleri saldırının çeşitli aşamalarına karşı korunabilir.
Bunlar arasında kötü niyetli eklerin tanımlanması ve engellenmesi, daha fazla yükü indiren URL’lerin engellenmesi, kötü amaçlı veritabanlarına damlalık dosyaları ekleme ve bunları engellemek için güvenlik kategorileri altındaki C2 sunucularını kategorize etmeyi içerir.
Kullanıcıların e -posta ekleri konusunda dikkatli olmaları ve bu tür tehditleri tespit etmek ve önlemek için sağlam güvenlik yazılımı kullanmaları tavsiye edilir.
Sıçanlar gelişmeye devam ettikçe, uyanık kalmak ve gelişmiş güvenlik önlemleri kullanmak bu sofistike saldırıları azaltmak için çok önemlidir.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.