Güvenlik araştırmacıları, kurbanın coğrafi konumuna göre farklı yükler dağıtmak için bir JScript yükleyici kullanan gelişmiş bir kötü amaçlı yazılım dağıtım mekanizmasını analiz ediyor.
Bu yükleyici, sonuçta Xworm Remote Access Trojan (Sıçan) veya Rhadamanthys Information Stealer gibi güçlü kötü amaçlı yazılımlar yürüten gizlenmiş PowerShell komut dosyalarını içeren karmaşık bir zincir başlatır.
Saldırı genellikle planlanan bir görevle veya sahte captchas içeren, bir ClickFix saldırıları yoluyla başlar, mshta.exe Yükleyiciyi tetikleme komutu.
.png
)
Powershell Loader’a JScript
İlk aşamanın çekirdeği, bir PowerShell komutunu oluşturmak ve yürütmek için tasarlanmış bir JScript dosyasını içerir.
Tespitten kaçınmak için, PowerShell kodu doğrudan depolanmaz, ancak bir dizi içindeki segmentlere, genellikle randomize bir sırayla ayrılır.
JScript çalıştığında, bu segmentleri dinamik olarak doğru sıraya yeniden monte ederek PowerShell komutunu oluşturur.
Bu komut, saldırının bir sonraki aşamasını indirmek ve yürütmekten ve ardından izlerini temizlemekten sorumludur.
Bu yükleyicinin temel özelliği, coğrafi işleme kullanımıdır. Devam etmeden önce, yükleyici bir coğrafi konum hizmetine API isteği göndererek kurbanın coğrafi konumunu kontrol eder.
IP adresi ile ilişkili ülkeyi belirlemek için yanıtı ayrıştırır. Ülke “Amerika Birleşik Devletleri” olarak tanımlanırsa, yükleyici Xworm sıçanını iletir.
ABD dışında bulunan kurbanlar için bunun yerine Rhadamanthys stealer’ı konuşlandırıyor.
Bu coğrafi işleme taktiği, saldırganların belirli bölgeleri hedeflemelerine olanak tanır, etkisini potansiyel olarak en üst düzeye çıkarırken, hedefli olmayan alanlardaki araştırmacılardan istenmeyen maruz kalmayı veya analizleri en aza indirir.
Çok aşamalı güç yürütme
ABD merkezli kurbanların (Xworm’a yol açan) yoluna odaklanan teslim edilen PowerShell betiği, birden fazla şaşkınlık ve anti-analiz teknik katmanını kullanır.
İlk adımlar ve temizleme
Komut dosyası, ondalık formatta temsil edilen dizelerin çözülmesiyle başlar. Daha sonra, geçerli işlem için komut dosyası yürütme politikasını “sınırsız” olmaya zorlar ve sonraki komutların engelsiz çalışmasına izin verir.
Script, analiz araçlarına müdahale edebilecek veya bunlara ait olabilecek çalışan süreçleri aktif olarak sonlandırmaya çalışır, mshta.exe– wscript.exe– msbuild.exeve desenle eşleşen herhangi bir işlem *.bat.exe.
Ayrıca, çeşitli komut dosyası ve kısayol dosyalarını kaldırarak dosya sistemi temizleme gerçekleştirir (.bat– .ps1– .lnk– .cmd– .vbs) AppData, Public, Startup ve ProgramData gibi hassas dizinlerden.
Deobfuscation ve yükü kullanma
Geçici bir dizin oluşturulur. Bir değişkende depolanan küçük bir deobfuscation betiği, bu yeni dizinin içindeki bir dosyaya yazılır. Merakla, yükleyici, dosyanın kendisi yerine komut dosyasını içeren değişkeni yürütür.
Bu yürütülen değişken daha sonra bir sonraki aşama komut dosyasını içeren başka bir değişkeni işler ve ondalık gösterimden bir işlev kullanarak yürütülebilir metne dönüştürür.
Başka bir değişken son kötü amaçlı yazılım yükünü (Xworm) tutar, ancak zincirdeki son komut dosyasına kadar dokunulmaz. Deobfuscation’dan sonra geçici dosya ve dizin silinir.
Nihai yük enjeksiyonu
Deobfuscation’dan elde edilen senaryo son adımları düzenler. İki temel değişkenin içeriğini tersine çevirir: biri Xworm yükü için ve diğeri kötü amaçlı bir yükleyici için.
Her iki değişken de ondalık değerler olarak ters sırada saklanan verileri içerir. Bir işlev, bu tersine çevrilmiş ondalık dizeleri yürütülebilir bayt dizilerine dönüştürür.
Ortaya çıkan kötü amaçlı yükleyici daha sonra PowerShell’in yansıma yetenekleri kullanılarak yansıtıcı bir şekilde belleğe yüklenir. Bu, komut dosyasının yükleyicinin işlevlerine diske yazmadan erişmesini sağlar.
Komut dosyası, yüklenen yükleyiciden belirli yöntemleri dinamik olarak alır. Meşru .NET yardımcı programlarının yollarını, özellikle de RegSvcs.exe (farklı çerçeve versiyonlarında bulunur).
Son olarak, alınan yöntemi çağırır, RegSvcs.exe Yol ve son Xworm yükü.
Bu eylem, Xworm kötü amaçlı yazılımları meşruun bellek alanına enjekte eder. RegSvcs.exe Process, Process Holling’e benzer bir teknik, kötü amaçlı yazılımın güvenilir bir Microsoft yürütülebilir dosyasının kisvesi altında çalışmasına izin verir. Komut dosyası daha fazla temizleme eylemiyle sonuçlanır.
Kötü amaçlı yazılım yükleri
Xworm (ABD Hedef)
ABD kurbanlarına teslim edilen Xworm, 2012’nin ortalarından beri aktif .NET tabanlı bir sıçandır. DDOS saldırıları, fidye yazılımı işlevleri, pano manipülasyonu (özellikle kripto para birimi adreslerini hedefleme), anahtarlama ve USB sürücüleri aracılığıyla yayılma gibi çok çeşitli özelliklere sahiptir.
Çoğu zaman birden fazla örneği önlemek için muteksler kullanan hata ayıklayıcıları, sanal makineleri ve spesifik analiz ortamlarını kontrol etmek gibi anti-analiz teknikleri kullanır.
Xworm kalıcılık oluşturur, genellikle AES şifrelemesi kullanarak komut ve kontrol (C2) sunucuları ile iletişim kurar ve ek eklentiler veya modüller indirebilir.
Rhadamanthys (USA dışı hedef)
ABD dışındaki kurbanlar, ilk olarak Ağustos 2022’de görülen bir C ++ bilgi çalan Rhadamanthys’i alıyor.
Abonelik yoluyla satılan tarayıcılar, VPN’ler, e -posta istemcileri, sohbet uygulamaları ve kripto para birimi cüzdanlarından kimlik bilgilerini hedefler.
Rhadamanthys, kod sanallaştırma ve özel bir gömülü dosya sistemi dahil olmak üzere sofistike gizleme kullanır.
Son zamanlarda yapılan dikkate değer bir ek, doğrudan kurbanın makinesinde depolanan görüntülerden kripto para birimi tohum ifadelerini çıkarmak için AI destekli bir OCR özelliğidir. Genellikle çok aşamalı yükleyiciler kullanır ve anti-analiz kontrolleri kullanır.
Rusya’yı hedeflemek için bazı forumlarda yasaklanmasına rağmen, genellikle kötü niyetli ekler içeren kötüverizasyon veya kimlik avı e -postaları yoluyla aktif olarak geliştirilmiş ve dağıtılmaktadır.
Bu saldırı zinciri, JScript, PowerShell, çok katmanlı gizleme, coğrafi işleme ve filessiz yürütme tekniklerini, tespit ederken özel kötü amaçlı yazılım yükleri sunmak için yüksek derecede sofistike bir şekilde göstermektedir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!