MSIX, geliştiricilerin kolay kurulum için Windows uygulamalarını paketlemesine yardımcı olur. Kullanıcı dostu olmasına rağmen kod imzalama sertifikalarına erişim gerektirir ve bu da onu becerikli tehdit aktörleri için çekici bir hedef haline getirir.
Ek olarak, MSIX paketleri yönetici ayrıcalıkları olmadan dağıtılabilir ve kurulabilir, bu da potansiyel olarak kötü amaçlı yazılımların geleneksel güvenlik kontrollerinden kaçmasına olanak tanır.
Elastic Security Labs’taki siber güvenlik araştırmacıları kısa süre önce, GHOSTPULSE adı verilen gizli bir yükleyiciyle ilk erişim için imzalı MSIX uygulamalarını kullanan bir kampanya keşfetti.
Kullanıcılar muhtemelen tehlikeli web siteleri veya SEO hileleri yoluyla kötü amaçlı MSIX paketlerini indiriyor ve aşağıdaki gibi popüler uygulamalar gibi görünüyor:
“Yükle” düğmesi normal görünüyor, ancak gizlice bir PowerShell betiği herhangi bir uyarı olmadan GHOSTPULSE’ı indirip çalıştırıyor.
Silahlandırılmış MSIX Paketleri
Son bir yükü gerçekleştirmek için GHOSTPULSE yükleyici, kolay ve kapsamlı derinlemesine analiz için güvenlik araştırmacıları tarafından 3 farklı aşamaya bölündü.
Aşağıda tüm aşamalardan bahsettik: –
- Aşama 0: Kötü amaçlı MSIX yükleyicisindeki PowerShell betiği aşama 0’dır ve bu aşamada GPG şifreli bir dosyayı indirir ve şifresini çözer. Bu dosya, kötü amaçlı bir DLL dosyasını dışarıdan yükleyerek tehdit aktörünün dosya tabanlı taramadan kaçmasına olanak tanıyan yürütülebilir bir VBoxSVC.exe içerir.
- 1. Aşama: GHOSTPULSE’ın ilk aşaması meşru bir yürütülebilir dosya tarafından yüklenen kötü amaçlı bir DLL’dir. Bir İçe Aktarma Adres Tablosu (IAT) oluşturur ve şifrelenmiş verileri “handoff.wav”dan okur. Kötü amaçlı yazılım, verilerin şifresini çözer ve sıkıştırmasını açar, bir kitaplık yükler (örneğin, mshtml.dll) ve yüklenen DLL’nin .text bölümündeki Aşama 2 kabuk kodunu “modül durdurmayı” kullanarak çalıştırır.
- 2. aşama: Aşama 2, API karması için CRC32’yi kullanarak yeni bir IAT oluşturur; daha sonra ntdll.dll dosyasını okur ve doğrudan NT API’lerini çağırır. GHOSTPULSE, COM nesneleri aracılığıyla bir .lnk dosyası oluşturarak kalıcılık sağlar. XOR, verileri makine adıyla şifreler ve kullanıcının geçici klasörüne kaydeder, ardından bir alt işlem başlatır ve yürütmeyi Wow64SetThreadContext’i kullanarak mshtml.dll dosyasındaki kötü amaçlı koda yönlendirir.
- Sahne 3: Bu aşama, son yükü yükler ve yürütür ve ardından kaçınma talimatlarının üzerine yazar. İşlev İçe Aktarma Tablosu için CRC32’yi kullanır, “cennetin kapısını” kullanır ve WOW64 dosya sistemi yeniden yönlendirmesini devre dışı bırakabilir. Geçici bir dosyadaki yükün şifresini çözer ve bunu İşlem Benzeri kullanarak enjekte ederek kaçınma ve kalıcılık sağlar.
Nihai yük her örnekte farklılık gösterir ve genellikle aşağıdaki gibi bir bilgi hırsızıdır: –
- SectopRAT
- Rhadamanthys
- Daha öte
- Lumma
- Net Desteği
Algılama önerileri
Aşağıda, güvenlik analistlerinin sunduğu tüm tespit önerilerinden bahsettik: –
- Potansiyel Olarak Şüpheli Bir Üst Düzey Etki Alanına DNS Sorgusu gerçekleştirdiğinizden emin olun.
- İmzalı İkili Proxy Tarafından Yazılan Dosyanın Kitaplık Yükü.
- İmzasız bir DLL’den Şüpheli API Çağrısı.
- Uzak Bir İşleme Şüpheli Bellek Yazma.
- Değiştirilmiş NTDLL’den Süreç Oluşturma.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.