Bilgisayar korsanları, kötü amaçlı yazılımları veri hırsızlığı, sistemleri bozma, casusluk veya etik dışı parasal çıkarlar elde etmek için çarpıtma gibi çeşitli yasa dışı amaçlarla kötüye kullanır.
Ayrıca bu kötü amaçlı yazılım, belirli bir ülkenin ulus devlet aktörleri tarafından siber savaş veya alıcı istihbarat yürütülmesinde de yardımcı olmaktadır.
SmokeLoader, başlangıçta indirici olarak işlev gören çok yönlü ve modüler bir kötü amaçlı yazılımdır. Bilgi çalma yeteneklerine sahip karmaşık bir çerçeveye dönüştü.
Yıllar geçtikçe önemli bir gelişme gösteriyor. Zscaler ThreatLabz’ın analizi, 2024’te on binlerce enfeksiyonu temizleyerek Endgame Operasyonunu destekledi ve SmokeLoader sürümlerini kapsamlı bir şekilde belgeledi.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot.
SmokeLoader – Modüler Bir Kötü Amaçlı Yazılım
2011’den başlayarak, sürüm numarası olmayan en eski SmokeLoader örnekleri oldukça basitti ancak C2 istemci iletişimi için bir temel oluşturuyordu.
Bu “tarih öncesi” varyantlar, svchost.exe işlemlerine enjekte edilen iki kabuk koduna sahipti; bunlardan biri C2 sunucusunu sorgulamak için “getload” veya “getgrab” komutlarını, diğeri ise HTTP GET isteklerini kullanarak kayıt yapan botu içeriyordu.
Kötü amaçlı yazılım, paylaşılan bölümlerden APC kuyruk enjeksiyonuna kadar farklı enjeksiyon tekniklerinden geçmiştir.
Doğası gereği basit olmasına rağmen, bu ilk adımlar SmokeLoader’ın daha sonra modüler ve gelişmiş tehditlere dönüştürülmesi için bir temel oluşturmaktadır.
.webp)
SmokeLoader 2012 panelinin sızdırılan kaynak kodu, bilgi çalmak için kullanılan bir modülü almak için “getgrab” ve uzak bir kabuğu uygulamak için “getshell” dahil olmak üzere farklı komutları desteklediğini gösterdi.
Analiz sürecini önlemek için karma tabanlı API çözünürlüğü, dize şifreleme ve diğerleri oluşturuldu.
2014 yılına gelindiğinde SmokeLoader programında çok aşamalı bir yükleme süreci, güncellenmiş bir bot kimliği oluşturma algoritması, ayrı bir şifrelenmiş C2 listesi ve yeni bir aşama bileşeni gibi önemli değişiklikler uygulandı.
Bu nedenle, kötü amaçlı yazılım çalma bölümünün sonraki sürümleri, doğru yürütme için çok işlevli seçeneklere sahip bağımsız eklentilere ayrılacaktır.
Bu, SmokeLoader’ın hiçbir zaman statik olmadığını, her zaman daha karmaşık kaçınmalarla geliştiğini ve özelliklerini genişlettiğini gösterdi.
SmokeLoader 2014 sürümünde, aşama bileşeni ana modülün şifre çözme ve sıkıştırmayı açma işlevini içerir.
Ayrıca birkaç anti-analiz kontrolü yürütür ve kötü amaçlı yazılımı APC sıra kodu ekleme yoluyla svchost.exe’ye enjekte eder.
Uygulanan temel gizleme teknikleri polimorfik olmayan şifre çözme döngülerini ve dize şifrelemeyi içerir.
Kalıcılığa izin verecek şekilde değiştirildi, bot kimliği oluşturma algoritması güncellendi, dizeleri düz metin olarak tutuldu, analiz araçlarına karşı ortam kontrolleri uygulandı ve CRC32 değerlerine dayalı bir kopya koruma mekanizması tanıtıldı.
Ağ protokolü, şifrelenmiş komutların ve argümanların HTTP POST istekleri aracılığıyla gönderilebilmesi için değiştirildi.
Bu, SmokeLoader tarafından gerçekleştirilen önemli evrimsel ilerlemelerden birine işaret etmektedir.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free