Tehdit aktörleri, kodlarını hızla uyarlama ve değiştirme olanağı sundukları için karmaşıklıkları ve karmaşıklıkları nedeniyle hızla gelişen çok katmanlı kötü amaçlı yazılımlardan yararlanıyor.
Analizi ve karşı önlemleri daha da zorlaştırmak için, bu karmaşık kötü amaçlı yazılım türü genellikle aşağıdaki temel şeyleri kullanır: –
- Çok katmanlı şaşırtmaca
- Çok katmanlı şifreleme teknikleri
Check Point’teki siber güvenlik araştırmacıları yakın zamanda Dark Web’in karaborsalarında satılan ve sık sık güncellenen bir bilgi hırsızı olan Rhadamanthys’i keşfetti.
Hızla gelişen bu çok katmanlı kötü amaçlı yazılımın geliştiricileri yakın zamanda “0.5.0” adlı yeni bir ana sürüm yayınladı.
Rhadamanthys Çok Katmanlı Kötü Amaçlı Yazılım
Rhadamanthys, Eylül 2022’de yayınlanan bir karaborsa reklamında dikkat çekti ve zengin özellikleri ve gösterişli tasarımıyla tanınıyor.
Satıcı, “King Crete”, potansiyel diğer kötü amaçlı yazılımlar hakkında spekülasyonları ateşleyerek profesyonelliğini sergiledi.
Bunun yanı sıra, Tor tabanlı bir sitede en son sürümü 0.5.0 olan bu hırsızın geliştirilmesi ve reklamı devam etmektedir. Bu yeni sürüm çok sayıda değişiklik ve ilginç özelliklerle birlikte geliyor.
Büyük ölçüde yeniden yazılmış olmasına rağmen, Rhadamanthys için 32 bit Windows PE başlangıç yükleyicisi önceki sürümdeki (0.4.9) eserleri koruyor.
Eklenen bir özellik, yürütülebilir dosyanın adını kontrol eder ve sanal alan analizi (uzunluğu 16, 32, 40 veya 64 olan onaltılık karakterler) öneriyorsa çıkar.
Yapılandırma ve ek modüller ilk yürütülebilir dosyaya gömülür, yürütme sırasında paketten çıkarılır ve sonraki aşamalara aktarılır.
İlk önceliklendirmede yeni bir bölüm: Başlangıçta boş olan (ham boyut = 0) .textbss, önceki sürümlere benzer şekilde çalışma zamanında kabuk koduyla dolduruldu, ancak artık konumdan bağımsız olarak ilk modülü paketinden çıkarıyor ve yüklüyor.
XS1 formatlı bileşen ikinci yükleme aşamasında açığa çıkarıldı ve değişiklik, dizi dökümü girişimi sırasında ilk önceliklendirmede tespit edildi. Flare FLOSS’un tanıttığı modül, yazarın artık gizlediği boşaltılmış dizeler aracılığıyla ipuçları veriyor.
Bunun yanı sıra, PE sonrası dönüşüm ve IDA analizi başlatma fonksiyonunun ana hatları farklı ve rafine bir tasarımı ortaya koyuyor.
Yeni sürüm, özellikle karmaşık dizelerin kodunun çözülmesinde geçici arabellekler için TLS’yi tanıtıyor. TLS init_xs_module’de tahsis edilir, TlsAlloc değeri global olarak depolanır ve arabellek tahsisi için TLS’ye özel bir yapı eklenir.
Kaydedilen arabellek, dizeler gibi verilerin gizliliğinin kaldırılmasında birden çok kullanım için alındı. Dize şifre çözme işlevi bir geri çağırma olarak iletildi ve kullanımdan sonra arabellek temizlendi.
Bu işlevsellikte TLS’nin atipik kullanımı, belirsiz tasarım mantığı. Dize gizleme algoritmaları, farklı kötü amaçlı yazılım aşamalarında değişiklik gösterir.
Rhadamanthys modülleri, yerel API çağrıları için ham sistem çağrıları kullanarak, API adlarının çengellenmesinden ve karışıklığından kaçınır. Dolaylı sistem çağrıları NTDLL kancalarını atlar ve yazar, tekniğin bir çeşidini kullanarak sorunu giderir.
Hem 32 hem de 64 bit modüller ham sistem çağrılarını kullanır; WoW64 sürecinin sistem çağrısı yürütmesi Heaven’s Gate tekniği ile gerçekleştirilir. Aşama 2 modülleri, paket no. 2’deki hırsızları hazırlar ve gizler. C2’den 2.
Netclient, C2’ye bağlanır, yükü WAV formatında indirir, karma ile doğrular ve protokol modülünü kullanarak XS1 modülünün şifresini çözer.
XS1 daha sonra sonraki aşamaları yükler ve son olarak coredll.bin (XS2 formatı) görevleri koordine eder, C2’ye rapor verir ve yerleşik hırsızları başlatır.
Bunun yanı sıra yazar sürekli olarak özellikler ekleyerek bu hırsızı çok amaçlı bir bota dönüştürüyor. Bu, Rhadamanthys’in gelişen kötü amaçlı yazılım pazarında önemli bir oyuncu olmayı hedeflediğini gösteriyor.