Araştırmacılar yakın zamanda çok sayıda kopya oluşturarak ve çeşitli IP adreslerine bağlanarak agresif bir şekilde yayılan bir CoreWarrior kötü amaçlı yazılım örneğini analiz etti.
Birden fazla arka kapı bağlantısı kurar ve Windows kullanıcı arayüzü öğesi kancaları aracılığıyla kullanıcı etkinliğini izler; bu, sistem bütünlüğünü tehlikeye atabileceği ve hassas verileri çalabileceği için önemli bir güvenlik riski oluşturur.
Kötü amaçlı yazılım, standart paket açıcıların çalışmasını engelleyecek şekilde değiştirilmiş, UPX paketli bir yürütülebilir dosyadır. Yürütüldüğünde, rastgele bir adla geçici bir kopya oluşturur ve bu kopyayı, verileri HTTP POST aracılığıyla uzak bir sunucuya göndermek için kullanır.
Her başarılı iletimden sonra, orijinal kopya silinir ve yeni bir kopya oluşturulur; bu da hızlı dosya değişimine neden olur. Bu sürecin, test sırasında on dakika içinde yüzden fazla kopya oluşturup sildiği gözlemlendi.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
Program mesaj aktarım işlemine başladıktan sonra 49730-49777 ve 50334-50679 numaralı bağlantı noktalarına bir dinleyici kurulur.
Hiçbir TCP/UDP trafiği gözlemlenmezken, 172.67.183.40 ikincil IP adresinde tek bir bağlantı tespit edildi; bu, programın ağ etkinliğinin giden mesaj iletimine odaklandığını ve potansiyel gelen bağlantıların hareketsiz kaldığını gösteriyor.
Kötü amaçlı yazılım ana süreci, sistem sürücüleri hakkında bilgi toplayacak ve hata ayıklamayı tespit etmek için rdtsc kullanmak ve süreler bir eşiği aşarsa çıkmak da dahil olmak üzere çeşitli anti-analiz teknikleri uygulayarak komut istemi penceresini değişikliklere karşı izleyecektir.
Kötü amaçlı yazılım, tespit edilmekten kaçınmak için bağlantı girişimlerine göre ayarlanan rastgele bir uyku zamanlayıcısı kullanır ve aynı zamanda HyperV kapsayıcılarıyla ilgili belirli dizeleri arayarak VM ortamlarını da tespit edebilir.
Veri sızdırma için potansiyel olarak FTP, SMTP ve POP3 protokollerini kullanır; burada FTP (Dosya Aktarım Protokolü) sistemler arasında dosya aktarmak için kullanılabilir, yetkisiz veri aktarımına olanak tanır ve SMTP (Basit Posta Aktarım Protokolü) e-posta göndermeye izin vererek potansiyel olarak gizli bilgileri kolaylaştırır. veri iletimi.POP3 (Postane Protokolü sürüm 3), bir sunucudan e-postaları almak için kullanılır ve potansiyel olarak hassas bilgileri açığa çıkarır.
Bu protokoller kötüye kullanıldığında veri gizliliğini ve bütünlüğünü tehlikeye atabilir ve potansiyel ihlallere yol açabilir.
Sonicwall tarafından sağlanan IOC’ler, kötü amaçlı yazılım eserlerini temsil eder; burada paketlenmiş IOC, 85A6E921E4D5107D13C1EB8647B130A1D54BA2B6409118BE7945FD71C6C8235F, kötü amaçlı yazılımın sıkıştırılmış veya gizlenmiş bir sürümüdür.
Paketlenmemiş IOC, 8C97329CF7E48BB1464AC5132B6A02488B5F0358752B71E3135D9D0E4501B48D, kötü amaçlı yazılımın sıkıştırılmış veya şifresi çözülmüş şeklidir ve gerçek işlevselliğini ve bileşenlerini ortaya çıkarır.
Her iki uzlaşma göstergesinin de bir siber güvenlik olayında uzlaşma göstergesi olarak hizmet etme olasılığı yüksektir, bu da analistlerin tehdidi tanımlamasına ve durdurmasına olanak tanır.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)