Kötü şöhretli Blackwood APT grubuyla ilişkili yeni bir DLL yükleyicinin yakın zamanda keşfedilmesi, siber güvenlik profesyonellerinin tüylerini diken diken etti.
SonicWall Capture Labs tarafından analiz edilen bu gelişmiş kötü amaçlı yazılım, Japonya ve Çin’deki şüphelenmeyen kullanıcıları hedef alarak ayrıcalıkları artırmayı ve kötü amaçlar için kalıcı arka kapılar oluşturmayı amaçlıyor.
Yükleyicinin Sırlarını Açığa Çıkarmak
İlk bakışta örnek mütevazı görünüyor. Bu, gizleme veya şifreleme içermeyen, görünüşte kötü niyetli olmayan bir 32 bit DLL’dir.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Ancak araştırmacıların daha yakından incelemesi onun gerçek doğasını ortaya çıkarıyor. “GetCurrentProcessID”, “OpenProcess” ve “VirtualAlloc” gibi dizeler, meşru süreçlere kötü amaçlı kod enjekte ederek kontrolü sessizce ele geçirme becerisine işaret ediyor.
Ek olarak, “333333333333333.txt” ve “Update.ini” gibi dosya referansları merak uyandırarak potansiyel indirme ve yapılandırma mekanizmalarına işaret ediyor.
Kaçınma Manevraları: Engelleme Analizi
Bu yükleyici kolay kolay kandırılamaz. Soruşturmayı engellemek için çeşitli anti-analiz teknikleri kullanır.
Hata ayıklayıcıları, işlemci özelliklerini ve güvenlik ayarlarını titizlikle kontrol ederek analiz ortamlarını belirlemeye çalışır.
Ek olarak yerel ayar kontrolleri, belirli dil ayarlarının algılanması durumunda süreci sonlandıran son bir engel görevi görür.
Bu önlemler, geliştiricinin güvenlik araçlarına ilişkin farkındalığını ve tespit edilmeden kalma niyetini gösterir.
Yükleyici konuşlandırıldıktan sonra pelerinini çıkarır ve kötü niyetli görevine başlar.
Ayrıcalık yükseltmeyi denemek için meşru bir Windows bileşeni olan CMSTPLUA arayüzünü kullanır.
Bu, çok önemli bir güvenlik engeli olan Kullanıcı Hesabı Denetimini (UAC) aşarak kötü amaçlı yazılıma yükseltilmiş ayrıcalıklar ve sisteme sınırsız erişim sağlar.
Bu operasyonun nihai amacı kalıcı bir arka kapı oluşturmaktır. Arka kapının belirli ayrıntıları açıklanmasa da amacı açıktır: uzaktan iletişimi, veri sızmasını ve hatta potansiyel olarak komuta ve kontrol yeteneklerini kolaylaştırmak.
Bu, saldırganlara kurbanın sisteminde bir yer edinerek iletişimleri izlemelerine, hassas verileri çalmalarına ve potansiyel olarak başka saldırılar başlatmalarına olanak tanır.
SonicWall, Blackwood DLL yükleyicisini tespit etmek ve engellemek için MalAgent.Blackwood imzasını serbest bırakır.