Siber güvenlik araştırmacılarına göre, Ghost Emperor olarak bilinen Çin bağlantılı bir hacker grubu, gelişmiş Demodex rootkit’inin güncellenmiş bir versiyonuyla yeniden ortaya çıktı. Ghost Emperor genellikle Güneydoğu Asya telekom ve hükümet kuruluşlarını hedef alır ve enfeksiyon zincirini değiştirdi ve kötü amaçlı yazılım cephaneliğine yeni kaçınma teknikleri ekledi.
Yeni Hayalet İmparator Demodex Enfeksiyon Zinciri
GhostEmperor, gizli yürütme ve kalıcılığı sağlamak için çok aşamalı bir kötü amaçlı yazılım kullanır ve analiz sürecini engellemek için çeşitli yöntemlerden yararlanır.
Sygnia’dan araştırmacılar, güncellenen Demodex enfeksiyon zincirinin, saldırganların kurbanın makinesinde bir toplu iş dosyasını çalıştırmak için uzaktan yürütme aracı olan WMIExec’i kullanmasıyla başladığını keşfetti. Toplu iş dosyası, “1.cab” adlı bir CAB dosyasını C:\Windows\Web’e bırakır, dört dosyayı çıkarır ve reg.exe içe aktarmayı kullanarak hedef sistemlere iki kötü amaçlı kayıt defteri dosyasını içe aktarır [file] Komut. Tehdit aktörü, saldırı operasyonlarında gizliliği sağlamak için reg.exe ve expand.exe gibi meşru Microsoft araçlarını kullanır.
Kayıt defteri anahtarları içe aktarıldıktan sonra, toplu iş dosyası, kötü amaçlı bir Hizmet DLL’si (prints1m.dll) dosyasını yüklemek için “WdiSystem” adlı yeni bir hizmet oluşturmak üzere şifrelenmiş bir PowerShell betiğini yürütür. Betik ayrıca “WdiSystemhost” adlı bir hizmet grubu oluşturur ve kötü amaçlı hizmeti bu grup içinde çalıştırır, böylece kötü amaçlı yazılım işlemini işletim sistemi içinde meşru bir Windows sistem işlemi olarak gizler.
Hizmet DLL’si, İşlem Ortam Bloğu adlı dahili bir işletim sistemi yapısı kullanarak gerekli işlevleri dinamik olarak yükler, LoadLibraryA işlevine erişir ve başlangıç uyku süresi, kabuk kodu konumunun kayıt defteri yolları ve işlem için gereken modül ve işlev adlarının listesi gibi parametreleri içeren şifrelenmiş bir yapılandırmayı çözer.
Güvenlik firmasının olay müdahale ekibi, hem bir müşteriyi hem de iş ortağını etkileyen bir ağ ihlalini araştırırken yeni varyantı ortaya çıkardı. Temmuz 2021’de derlenen kötü amaçlı yazılım, Kaspersky tarafından 2021’de analiz edilen bir sürümle benzerlikler taşıyor ancak birkaç önemli değişiklik içeriyor.
Gelişmiş Kaçınma Teknikleri
Saldırı operasyonu, Microsoft tarafından imzalanmamış DLL’lerin yüklenmesini yasaklayarak süreçlerine belirli bir azaltma politikası ayarlayarak bir EDR kaçınma tekniği kullanır. Bu, kullanıcı modu kancalamasını sınırlar ve analiz araçlarını atlatmaya yardımcı olur. Hizmet ayrıca iki şifrelenmiş kayıt defteri anahtarını okur, kabuk kodunu şifresini çözer ve çekirdek-implant DLL’sini yürütmek için yansıtıcı bir yükleyici kurar.
Araştırmacılar, Ghost Emperor’un tespit edilmekten kaçınmak için şu yeni yöntemleri uyguladığını belirtiyor:
- EDR Kaçınma: Kötü amaçlı yazılım, Microsoft tarafından imzalanmamış DLL’lerin yüklenmesini önleyen bir işlem azaltma politikası belirler ve bu sayede güvenlik yazılımının izleme kodunu enjekte etmesini engeller.
- Dinamik Fonksiyon Yükleme: Kötü amaçlı DLL, gerekli fonksiyonları dinamik olarak yüklediğinden statik analizi zorlaştırır.
- Şifrelenmiş Yapılandırma: Kayıt defteri yolları ve gerekli işlev adları da dahil olmak üzere temel parametreler, DLL içinde şifrelenmiş bir yapılandırmada saklanır.
- Yansıtıcı Yükleme: Konumdan bağımsız bir kabuk kodu, analize direnmek için bozuk bir PE dosyası olarak depolanan çekirdek implant için yansıtıcı bir yükleyici görevi görür.
Araştırmacılar aşağıdaki IOC (Uzlaşma Göstergeleri) listesini paylaştılar
Ghost Emperor tehdit aktörü grubu, operasyonlarında gelişmiş teknikler ve gelişmiş yetenekler sergileyen Çin bağlantılı APT’lerin sonuncusu olup, bu durum hükümetler, bağımsız araştırmacılar ve güvenlik şirketleri arasında bölgeden gelen tehditler konusunda endişelere yol açıyor.