Windows makinelerini hedef alan kötü amaçlı yazılımlar önemli bir tehdit olmaya devam ediyor. Bu tehditler virüsler, solucanlar ve fidye yazılımları gibi çeşitli biçimlerde olabilir.
Bu kötü amaçlı programlar, “kimlik avı e-postaları”, “virüslü indirmeler” ve “güvenlik açıkları” gibi yasa dışı yöntemlerle sistemlere sızabilir.
SonicWall’daki siber güvenlik araştırmacıları, CoreWarrior kötü amaçlı yazılımının düzinelerce IP adresinden Windows makinelerine aktif olarak saldırdığını tespit etti.
CoreWarrior, gelişmiş ve kalıcı bir truva atı kötü amaçlı yazılımıdır. Bu tehdit, “10 dakika” içinde kendisinin “117 kopyasına” kadar oluşturarak kendini agresif bir şekilde çoğaltma sergiliyor.
CoreWarrior Kötü Amaçlı Yazılım Windows’a Saldırıyor
Burada dikkate değer olan şey, kopyaların her birinin rastgele oluşturulmuş bir adla oluşturulmuş olmasıdır. CoreWarrior, standart paket açma yöntemlerine direnmek için manuel olarak değiştirilmiş bir “UPX paketli yürütülebilir dosya” kullanır.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
Çalıştırıldıktan sonra verileri belirli bir URL’ye (http://wecan) “POST”lamak için “curl komut satırı aracını” kullanır.[.]Hasthe[.]Her başarılı iletimden sonra sürekli olarak kopyalar oluşturup silerek (teknoloji/karşıya yükleme).
Kötü amaçlı yazılım, dinleyicileri geniş bir bağlantı noktası aralığına (“49730-49777” ve “50334-50679”) bağlayarak arka kapı erişimi kurar ve “ikincil bir IP (172.67.183.40)” dahil olmak üzere birden fazla IP adresine bağlantı kurmaya çalışır.
Ayrıca CoreWarrior, izleme amacıyla “Windows kullanıcı arayüzü öğelerine” bağlanır. Bu onun “kalıcılık” ve “gözetleme” yeteneklerini geliştirir.
“Hızlı kendini kopyalama”, “ağ iletişimi” ve “sistem entegrasyonu”nun bu birleşimi, “CoreWarrior”ı sistem “güvenliği” ve “kararlılığı” açısından kritik bir tehdit haline getiriyor.
Bunun yanı sıra, hata ayıklama girişimlerini önlemek için, bir eşiğin “aşılması” durumunda sonlandırarak yürütme süresini ölçmek için “rdtsc” (‘Zaman Damgası Sayacı Oku) komutunu kullanır.
Araştırmacılara göre kötü amaçlı yazılım, “bağlantı girişimlerine”, “başarılara” ve “başarısızlıklara” göre ayarlanan rastgele bir uyku zamanlayıcısı kullanıyor ve bu da daha ileri analizleri zorlaştırıyor.
Aynı zamanda “HyperV kapsayıcılarını” kontrol etmeye ve kontrollü ortamlarda yürütmeyi önlemeye yardımcı olan “VM” algılama yeteneklerini de içerir.
Kötü amaçlı yazılım, veri hırsızlığı için aşağıdakiler gibi birden fazla protokol kullanır:-
- Dosya aktarımları için “FTP”
- E-posta göndermek için “SMTP”
- E-postaları almak için “POP3”
Tüm bu çeşitli teknikler, kötü amaçlı yazılımın tespit ve “analiz” açısından daha “dayanıklı” olmasını sağlarken, “bulaşmış sistemlerden” hassas bilgilerin çıkarılması için esnek seçenekler sunar.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)