Araştırmacılar, Çin kuruluşlarını hedef alan ve kimlik avı e-postalarına eklenmiş bir Word belgesi kılığında yürütülebilir bir dosya olarak gelen SquidLoader adında yeni bir kötü amaçlı yazılım yükleyici keşfetti.
Tespit ve analizden kaçınmak için kaçırma tekniklerini kullanır. Daha sonra, yükleyicinin süresi dolmuş bir yasal sertifikayla veya C&C sunucusu tarafından verilen kendinden imzalı bir sertifikayla imzalanması nedeniyle, bir HTTPS isteği aracılığıyla kötü amaçlı bir veri indirir.
SquidLoader, güvenlik araştırmacılarını yanıltmak için WeChat veya mingw-gcc gibi popüler yazılım ürünlerine referans veren karmaşık kod içeren, Word belgesi gibi davranan bir sahte dosyayı çalıştıran kötü amaçlı bir yükleyicidir.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Tuzak koduna rağmen, gerçek kötü amaçlı kod, yanıtta HTTPS gövdesi aracılığıyla iletilir ve yürütülmek üzere XOR şifresi çözülür.
Yükleyicinin kendisi kalıcılığa sahip değildir, ancak ikinci aşamadaki yük (Cobalt Strike) kurban makinede kalıcılık sağlayabilir.
Savunmadan Kaçınma Teknikleri:
SquidLoader, analizi engellemek için çeşitli gizleme teknikleri kullanır ve emülatörleri potansiyel olarak atlamak için “duraklat” veya “mfence” gibi anlamsız talimatlar kullanır.
Şifrelenmiş kod bölümlerinin şifresi tek baytlık bir XOR ile çözülür ve yanıltıcı talimatlar içerir.
Yığın içi şifrelenmiş dizelerin şifresi gerektiğinde çok baytlı bir XOR anahtarıyla çözülür; burada atlamalar talimatların ortasına inecek şekilde hazırlanır ve bu da sökücülerin kafasını karıştırır.
Genel olarak bu teknikler, kötü amaçlı kodu meşru işlevler içinde gizlemeyi ve analizi daha zor hale getirmeyi amaçlamaktadır.
Analizi engellemek için birden fazla gizleme tekniği kullanır ve kabuk kodu adresini dönüş adresinin üzerine yazmak için yığını manipüle eder.
Kontrol akışı, sonsuz döngüler ve yürütme sırasını öngörülemez hale getiren karmaşık bir switch ifadesi kullanılarak karartılırken, hata ayıklayıcılar belirli süreçlerin, hata ayıklayıcı nesnelerinin ve çekirdek hata ayıklayıcılarının kontrol edilmesiyle tespit edilir.
Kötü amaçlı yazılım ayrıca belirli dosyaların varlığını da kontrol eder ve potansiyel kancaları atlamak için sarmalayıcılar aracılığıyla kendi sistem çağrılarını gerçekleştirir, bu da kötü amaçlı yazılımın işlevselliğini ve amacını anlamayı zorlaştırır.
Level Blue tarafından hazırlanan analiz raporu, C&C sunucusuyla özel bir iletişim protokolü kullanan bir Cobalt Strike yükleyicinin ayrıntılarını veriyor; burada yükleyici, yükleyicinin kendisine benzer bir yapılandırma gizleme tekniğinden yararlanan tek bir yük getiriyor.
Yük, ilk bağlantı, sistem bilgilerinin sızdırılması ve sızdırılan verilerin özel bir bit düzeyinde işlem tabanlı algoritma ile şifrelendiği görevleri alma gibi eylemleri gerçekleştirmek için özel başlıklara sahip HTTPS isteklerini kullanarak C&C sunucusuyla iletişim kurar.
Kötü amaçlı yazılım, tespit edilmekten kaçınmak için konumdan bağımsız yürütme için dinamik çözünürlüklü Win32 API gizlemeyi kullanır ve API işlev adreslerini saklayan bir bellek içi tablo oluşturur.
Ham adresler yerine, bitsel bir işlem kullanarak dönüştürülmüş bir değeri saklar: daha düşük DWORD’un bitsel DEĞİL’i 0xCAFECAFE ile AND’lenir, adresin kendisi ile OR’lanır ve 0xFFFFFFFF35013501 ile AND’lenir.
Kötü amaçlı yazılım, işlevleri çağırmadan önce başarılı bir API çağrısı için doğru adresleri almak üzere bu dönüşümü geri alır.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free