Bilgisayar korsanları, yaygın kullanımları ve yazılımın doğasında bulunan güvenlik açıkları nedeniyle Excel belgelerini silah haline getiriyor.
Microsoft’un varsayılan olarak VBA makrolarını engellemesiyle birlikte, bilgisayar korsanları kötü amaçlı yazılım yaymak için “.XLL” dosyalarından yararlanmaya yöneldi.
Fortinet araştırmacıları yakın zamanda bilgisayar korsanlarının Remcos RAT sunmak için Windows kullanıcılarına silahlı Excel belgeleriyle aktif olarak saldırdığını tespit etti.
FortiGuard Labs, karmaşık kimlik avı saldırılarından birini, sipariş dosyası gibi görünen kötü amaçlı bir Excel dosyası içeren bir e-posta aldıklarında keşfetti.
Bu belge açılırsa, “hxxps://og1” kısa URL’sine sahip bir “HTA” (HTML Uygulaması) dosyasının indirilmesini başlatan, “CVE-2017-0199” tarafından takip edilen Microsoft Office Uzaktan Kod Yürütme güvenlik açığından yararlanır.[.]in/2Rxzb3”, “hxxp://192” bağlantısına yönlendirmeye yol açar[.]3[.]220[.]22/xampp/en/cookienetbookinetcahce.hta.”HTA dosyalarını DCOM bileşenleri aracılığıyla yürüten bir Windows uygulaması olan Mshta.exe, bilgileri birden çok gizleme katmanı altında gizlemek için JavaScript, VBScript, Base64 kodlaması, URL kodlaması ve Power Shell komut dosyalarını kullanır. .
Yönetilen Tespit ve Yanıt Satın Alma Kılavuzu – Ücretsiz İndirin (PDF)
İşlem, HTA dosyasının URLDownloadToFile() API’sini kullanarak “dllhost.exe” isimli bir yürütülebilir dosyayı %AppData% dizinine indirmesi şeklinde devam ediyor.
Dllhost.exe yürütüldükten sonra %AppData%\intercessionate\Favourablies117\sulfonylurea içine birden fazla dosya çıkarır ve yoğun şekilde okuyan ve yürüten bir 32 bit PowerShell işlemi (C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe) başlatır. Invoke-Expression (iEx) kullanılarak “Aerognosy.Res”teki kod gizlendi.
Son yük, gelişmiş uzaktan kumanda yetenekleriyle yasal olarak çevrimiçi olarak satılsa da, tehdit aktörleri tarafından hassas bilgileri toplamak ve kurbanların bilgisayarlarını kontrol etmek için kötüye kullanılan ticari bir RAT olan Remcos’u içeriyor.
Raporda, kötü amaçlı yazılımın, dllhost.exe’yi %temp%’e “Vaccinerende.exe” olarak kopyalayarak, “PowerShell” işlemini arka planda gizleyerek, “Valvulate.Cru”dan kötü amaçlı kod yükleyerek ve bunu aracılığıyla belleğe dağıtarak kalıcılık sağladığı belirtiliyor. “VirtualAlloc()” ve “CallWindowProcA()” API’leri. Sonuçta kötü amaçlı yazılım, ele geçirilen sistem üzerinde tam uzaktan kontrol sağlar.
Kötü amaçlı yazılım, PowerShell’in kötüye kullanılmasıyla başlayan çok aşamalı bir saldırı zinciri kullanır.
İlk aşamada gelişmiş anti-analiz teknikleri uygulanır ve bunlar: –
- Kendi kendini çözebilen hücreler içeren ve işe yaramaz talimatlarla sarılmış kod.
- Hata ayıklama çabalarının kontrol edilmesine yardımcı olabilecek vektörlü istisna işleyicileri.
- Fs’de PEB erişimi aracılığıyla dinamik API çözünürlüğü:[30h].
- Çeşitli hata ayıklama önleme mekanizmaları (ThreadHideFromDebugger (0x11) kontrolleri ve ProcessDebugPort izleme)
Daha sonra kötü amaçlı yazılım, “dllhost.exe”den getirilen ve “CREATE_SUSPENDED bayrağı” ile askıya alınan içi boş “Vaccinerende.exe” örneğini oluşturarak süreç boşaltmayı kullanır.
Diğerlerinin yanı sıra “NtAllocateVirtualMemory” ve “NtMapViewOfSection” gibi API’lerden yararlanır.
Bulaşma modunu korumak için “HKCU\Software\Microsoft\Windows\CurrentVersion\Run” konumunda bulunan Auto_Run kayıt defteri girişinde bir anahtar oluşturulur.
Son bölüm hxxp’den şifrelenmiş bir Remcos RAT Variant 5.1.2 Pro’yu alır[:]//192[.]3[.]220[.]22/hFXELFSwRHRwqbE214.bin, Bios işlevi “NtCreateThreadEx” tarafından sağlanan operasyonel işlevsellik yardımıyla RAM’de çözülür ve başlatılır.
Remcos’un bu modifikasyonu, Packet Magic (“0xFF0424”) kullanılarak paketlenmiş, Komut Veri Boyutunu içeren, 107’de çalışan C&C sunucusuna komut veren paketleri kullanır.[.]173[.]4[.]16:2404 ve 0x4K ve \x7C\x1E\x1E\x1F\x7C sınırlı karakteriyle tanımlanan birkaç sistem dosyasını içeren kayıt için bir Komut Kimliğine sahip.
Bu, “AYARLAR”da bulunan “57 değerli konfigürasyon bloğu” aracılığıyla “Keylogger”, “Ekran görüntüsü” ve “İşlem manipülasyonu” gibi uzaktan casusluk ve kontrol işlevlerinin yürütülmesine olanak tanır.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!