Cyble Research and Intelligence Labs (CRIL), yakın zamanda çok sayıda kötü amaçlı yazılım ailesini yaydığı tespit edilen yeni bir yükleyici olan AresLoader’ı tespit etti.
Kötü amaçlı yazılım yükleyiciler, kurbanın hedeflenen bilgisayar sisteminde çeşitli kötü amaçlı yazılım türlerini dağıtmak ve yürütmek için tasarlanmıştır.
Yükleyiciler, virüsten koruma yazılımı tarafından algılanmaktan kaçınmak için genellikle kötü amaçlı yükün şifrelenmesi veya gizlenmesi gibi çeşitli taktikler kullanır ve bu da güvenlik önlemleriyle algılanmasını zorlaştırır.
AresYükleyici
2022 yılında, ilk kez C programlama dilinde kodlanmış bir yükleyici kötü amaçlı yazılım olan AresLoader ortaya çıktı.
Bu yükleyicinin Telegram kanalları ve kötü amaçlı forumlar aracılığıyla dağıtıldığı tespit edilmiştir.
AiD Locker fidye yazılımının arkasındaki aynı tehdit aktörleri tarafından geliştirilen ve Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak dağıtılan AresLoader.
Beş derleme görüntüsü içeren AresLoader için aylık 300 ABD doları ücret vardır.
Bu grubun üyelerinin Rusya merkezli bilgisayar korsanlığı yapan bir grupla bağlantıları olduğuna dair de şüpheler var.
Teknik Analiz
Kötü şöhretli AresLoader, karmaşık bir işleyiş biçimini takip eder. İlk yükleyici ikili dosyası, birden çok aşamada daha fazla enjekte edilen ve karmaşık bir kötü amaçlı etkinlikler zinciriyle sonuçlanan katıştırılmış kod için bir kap görevi görür.
Daha fazla analiz sırasında, her bir ikili dosyadaki yükleyici kodunu çıkarma ve yerleştirme yöntemlerinin tüm kod boyunca tutarsız olduğu fark edildi.
Tehdit aktörleri, bulaşma tekniklerini sürekli olarak güncelleyerek AV araçları tarafından uygulanan güvenlik önlemlerinden kaçınır ve bununla da kalmayıp, bu yükleyiciyi kullandığı gözlemlenen çok sayıda kötü amaçlı yazılım türü de olmuştur.
Bunun dışında CRIL, şu adreste bulunan AresLoader kötü amaçlı yazılımını dağıtan bir GitLab deposu keşfetti: –
- hxxps[:]//gitlab.com/citrixchat-project/citrixproject/
Tehdit aktörlerinin “citrixproject” kılığına giren bu depo ile Citrix kullanıcılarını aktif olarak hedef aldığı tespit edilirken.
AresLoader’ın yürütülmesi sırasında kötü amaçlı yazılım, aşağıdaki öğeleri kullanarak CreateWindowEx() API’sini çağıran, C’de derlenmiş 32 bitlik bir ikili dosya kullanır:-
- GLSample (Sınıf adı)
- OpenGL Örneği (Pencere adı)
Bu belirgin özellik, siber güvenlik uzmanlarının yükleyiciyi tanımlama ve takip etme yöntemlerinden biridir.
Bu kötü amaçlı yazılımın tespitini ve analizini karmaşık hale getirme girişiminde API hashing kullanılır ve burada hedeflenen API’ler şunlara aittir:-
Aşağıda, yükleyicinin aldığı API işlevlerinin bir listesi bulunmaktadır:-
- pLdrFindResource_U
- pLdrAccessResource
- pNtAllocateSanal Bellek
- pNtQueueApcThread
- pNtTestAlert
Daha önce elde edilen kaynak verilerinin şifresinin çözülmesi, süreçteki bir sonraki adımdır ve ardından .rdata bölümünden, bu işlemi tamamlamak için bir anahtar alınır.
Şifre çözme döngüsü, hafıza tahsis edildikten hemen sonra başlar ve geçici olarak tahsis edilen hafıza, yeni şifresi çözülmüş PE dosyasını saklamak için kullanılır.
Ayrıca AresLoader, bir POST isteği kullanarak kurbanın sisteminden alınan ek bilgileri kullanarak kurbanı C&C sunucusuna kaydeder.
öneriler
Aşağıda, güvenlik uzmanlarının sunduğu tüm önerilerden bahsetmiştik:-
- Bilinmeyen web sitelerinden dosya indirmeyin.
- Saygın bir antivirüs ve internet güvenliği yazılım paketinin PC, dizüstü bilgisayar ve cep telefonu gibi bağlı cihazlarınızı koruduğundan emin olun.
- Açmadan önce bir e-postadaki tüm bağlantıların ve eklerin orijinalliğini doğruladığınızdan emin olun.
- Çalışanları riskler konusunda eğiterek kimlik avı ve güvenilmeyen URL’ler gibi tehditlerden koruyun.
- İşaret, kötü amaçlı yazılım veya saldırganlar tarafından veri hırsızlığını önlemek için ağ düzeyinde izlenmelidir.
- Çalışan sistemlerinin bir Veri Kaybını Önleme (DLP) çözümü ile korunduğundan emin olun.