Cybereye olarak bilinen sofistike yeni uzaktan erişim Truva atı, Windows sistemleri için önemli bir tehdit olarak ortaya çıktı ve PowerShell komutları ve kayıt defteri manipülasyonlarının bir kombinasyonu aracılığıyla Windows Defender’ı tamamen devre dışı bırakmak için gelişmiş yetenekler gösterdi.
Bu modüler, .NET tabanlı kötü amaçlı yazılım, Telegram’ın mesajlaşma platformunu komuta ve kontrol altyapısı olarak kullanır, bu da tespit ve hafifletmeyi özellikle geleneksel güvenlik çözümleri için zorlaştırır.
Kötü amaçlı yazılım, acemi siber suçluların bile derin teknik uzmanlık gerektirmeden yükleri özelleştirmesine izin veren kullanıcı dostu bir oluşturucu arayüzü aracılığıyla çalışır.
.png
)
.webp)
CybereKe, @cisamul23 ve @Codqu gibi takma işlemlerin arkasındaki kötü amaçlı yazılımların arkasında tehdit aktörleri ile kamu Github depoları ve özel telgraf kanalları da dahil olmak üzere birden fazla kanal aracılığıyla dağıtılır.
Kötü amaçlı yazılımların erişilebilirliği ve tak ve oynatması doğası, gözetim ve veri hırsızlığı yetenekleri arayan siber suçlu topluluklar arasında hızlı bir şekilde benimsenmesine katkıda bulunmuştur.
Cyfirma analistleri, Keylogging, kimlik bilgisi hasat, dosya eksfiltrasyonu ve pano kaçırma özelliklerini içeren kapsamlı özellik seti nedeniyle Cybereye’yi özellikle tehlikeli bir tehdit olarak tanımladı.
Araştırma ekibi, kötü amaçlı yazılımların komuta ve kontrol için telgraf kullanımının, saldırganların kendi altyapılarını koruma ihtiyacını ortadan kaldırdığını ve bu da onu daha geniş bir tehdit aktörleri için daha kaçınılmaz hem de erişilebilir hale getirdiğini belirtti.
Kötü amaçlı yazılımın etkisi, tehlikeli sistemlere uzun vadeli erişimi sürdürmesini sağlayan gelişmiş kalıcılık mekanizmalarını ve anti-analiz özelliklerini içeren tipik veri hırsızlığı operasyonlarının çok ötesine uzanır.
.webp)
Cybereye, tarayıcı kimlik bilgileri, kripto para birimi cüzdan adresleri, oyun platformu oturumları ve Wi-Fi şifreleri dahil olmak üzere çok çeşitli hassas bilgileri hedefler.
Gelişmiş Windows Defender Kaçma Teknikleri
Cybereye, Windows Defender’ı nötralize etmek için sofistike bir çift yaklaşım stratejisi kullanır ve tam koruma bypass’ı sağlamak için doğrudan kayıt defteri değişikliklerini PowerShell tabanlı komut yürütme ile birleştirir.
Kötü amaçlı yazılım DisableDefenderFeatures() Yöntem, Windows Defender’ın temel işlevselliğini kontrol eden kritik kayıt anahtarlarını sistematik olarak hedefler ve güvenlik çözümünü etkili bir şekilde çalışmaz hale getirir.
Kayıt defteri manipülasyon bileşeni, Windows Defender ilke yapısı altındaki belirli anahtarları değiştirmeye odaklanır.
Kötü amaçlı yazılım, kurcalama korumasının devre dışı bırakılması da dahil olmak üzere kesin kayıt defteri düzenlemeleri yürütür SOFTWARE\Microsoft\Windows Defender\Features ile TamperProtection Değer “0” olarak ayarlanmıştır ve belirleyerek anti-yazılım önleme işlevselliğini tamamen devre dışı bırakır DisableAntiSpyware “1” SOFTWARE\Policies\Microsoft\Windows Defender.
.webp)
Ayrıca, kötü amaçlı yazılım, değiştirerek gerçek zamanlı koruma yeteneklerini hedefler SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protectionayar DisableBehaviorMonitoring– DisableOnAccessProtectionVe DisableScanOnRealtimeEnable Hepsi “1”.
PowerShell bileşeni, CheckDefenderSettings() komutu kullanarak mevcut savunmacı tercihlerini ilk sorgulayan işlev Get-MpPreference -verbose Hangi güvenlik özelliklerinin etkin kaldığını değerlendirmek için.
Kötü amaçlı yazılım daha sonra bu çıktıyı ayrıştırır ve hedeflenen korumaları sistematik olarak devre dışı bırakır. Set-MpPreference komutlar.
Örneğin, gerçek zamanlı izleme aktif olarak tespit edilirse, kötü amaçlı yazılım yürütür Set-MpPreference -DisableRealtimeMonitoring $truedavranış izleme devre dışı bırakılırken Set-MpPreference -DisableBehaviorMonitoring $true.
Bu kapsamlı yaklaşım, kayıt defteri değişiklikleri sistem kısıtlamaları nedeniyle başarısız olsa bile, PowerShell komutlarının aynı sonucu elde etmek için alternatif bir yol sağlamasını sağlar.
Kötü amaçlı yazılım ayrıca bulut tabanlı tarama (DisableBlockAtFirstSeen), dosya ve program etkinliği izleme (DisableIOAVProtection) ve gizlilik modu kısıtlamaları (DisablePrivacyMode), kötü amaçlı yazılımın tespit edilmemesini sağlayan eksiksiz bir güvenlik boşluğu oluşturma.
Windows Defender’ın bu sistematik olarak sökülmesi, kötü amaçlı yazılım kaçakçılığı tekniklerinde önemli bir evrimi temsil eder ve modern tehditlerin meşru idari araçlar ve sistem değişiklikleri yoluyla uç nokta korumasını nasıl etkili bir şekilde etkisiz hale getirebileceğini gösterir.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin