DarkComet RAT – Saldırganların Windows’u Uzaktan Kontrol Etmesine Olanak Sağlayan Bir RAT Aracı


DarkComet RAT – Saldırganların Windows'u Uzaktan Kontrol Etmesine Olanak Sağlayan Bir Uzaktan Erişim Aracı

Gizli bir Uzaktan Erişim Truva Atı olan DarkComet, sistemlere sessizce sızarak kimlik bilgileri ve parolalar gibi hassas verileri çalar. Ayrıca bir arka kapı görevi görerek saldırganların kötü amaçlı yazılım yüklemesine ve virüslü makineleri kötü amaçlı faaliyetler için kontrol etmesine olanak tanır.

DarkComet, 2008 yılında Jean-Pierre Lesueur tarafından oluşturulan bir Uzaktan Erişim Truva Atı’dır (RAT). Kötü amaçlı yazılım, antivirüs programlarını devre dışı bırakabilir, ek kötü amaçlı yazılımlar yükleyebilir veya daha fazla saldırı için virüslü makineleri botnet’lere dahil edebilir. Enfeksiyon belirtileri genellikle kullanıcıdan gizlenir.

Hizmet Olarak SIEM

Teknik Analiz

Kullanıcı dostu arayüzü, güvenlik önlemlerinin tespit edilmeden kalmasını devre dışı bırakan ve genellikle paket yazılımlar, gizlenmiş e-postalar veya web sitesi güvenlik açıkları yoluyla dağıtılan yaygın kullanımına katkıda bulunmuştur.

Korumalı alanda görüntülenen kötü amaçlı alan adı

Analiz, kötü amaçlı yazılımın “attrib” komutunu kullanarak dosya özniteliklerini değiştirdiğini, potansiyel olarak kendisini bir sistem dosyası (gizli ve kritik) olarak işaretlediğini ve bırakılan yürütülebilir dosyaları açık olmayan konumlarda gizlediğini ortaya çıkardığından, birden fazla teknik kullanarak tespitten kaçınır ve uzaktan kontrol sağlar ( örneğin, C:\Users\admin\Documents\MSDCSC\msdcsc.exe).

Ayrıca, işlem ayrıcalıklarını değiştirmek için Windows API’leriyle etkileşime girerek potansiyel olarak virüslü sistem üzerindeki erişimini ve kontrolünü artırır, bu da uzaktan kontrol ve veri sızdırma için önceden tanımlanmış kötü amaçlı bir etki alanıyla iletişime izin verir.

Süreç ayrıcalıklarının değiştirilmesi

Uzaktan Erişim Truva Atı (RAT), donanım ve yerleştirme durumunu tanımlamak için GetCurrentHwProfileA API’sini kullanarak ayrıntılı sistem bilgilerini toplar ve ayrıca kayıt defterinden tarih, saat ve konumu alır.

Kötü amaçlı yazılım, C2 sunucu adresleri, kullanıcı SID’leri ve muteks değerleri de dahil olmak üzere çeşitli veri noktalarını işlemek için sub_4735E8 adlı bir işlevi kullanır ve bunları dahili veri yapıları aracılığıyla yinelenen analiz için gizler (DARKCOMET VERİLERİ) sağlanan parametrelere dayalı olarak belirli bilgileri çıkarmak için.

Try Advanced Malware Analysis with ANY.RUN For Free
14 günlük Ücretsiz Deneme sürümünü edinin

Analiz oturumunu görüntüleÇıkarılan veriler iletişim için C2 alanını, kurulum tarihini ve kayıt defteri anahtarları gibi kalıcılık mekanizmalarını içerir. Daha da önemlisi DarkComet, adli soruşturma sırasında şüpheyi önlemek için orijinal çalıştırılabilir oluşturma tarihini korur.

İşlenen kampanya adı

Kendisinin bir kopyasını kullanıcıya özel bir dizine bırakıp çalıştırarak sistemlere gizlice sızar. Devam etmek için kayıt defteri girişlerini kurnazca değiştirerek sistem başlatıldığında otomatik olarak yürütülmesini sağlar.

Kurulduktan sonra kullanıcı girişini simüle etmek, tuş vuruşlarını yakalamak ve hassas verileri dışarı çıkarmak için sistem düzeyindeki işlevlerden yararlanır. DarkComet, fare ve klavye olaylarını değiştirerek ve pano içeriğine müdahale ederek, virüslü sistemleri gizlice kontrol ederek önemli bir güvenlik tehdidi oluşturur.

Sisteme bağlı Ekran bilgilerinin alınması

Bir komut ve kontrol sunucusunun uzaktan kontrol ettiği ve virüslü sisteme kesin talimatlar veya komutlar göndererek saldırganın çeşitli kötü amaçlı faaliyetler gerçekleştirmesine olanak tanıyan kötü amaçlı bir yazılımdır.

Bu komutlar sistemden veri çalmak, ayarlarını değiştirmek veya ek kötü amaçlı yazılım dağıtmak için kullanılabilir. Güvenlik uzmanları bu komutları analiz ederek saldırganın hedefleri ve yöntemleri hakkında değerli bilgiler edinebilir.

DLL için modül tanıtıcısı alımı

HERHANGİ BİR ÇALIŞMAYA göre raporGelişmiş bir RAT olan DarkComet, hassas bilgileri toplarken ve kötü amaçlı komutları uzaktan yürütürken sistem ayarlarını ve kayıt defteri anahtarlarını değiştirerek tespit edilmekten kaçan gizli teknikleri ve kapsamlı yetenekleri nedeniyle önemli bir tehdit oluşturuyor.

Kötü Amaçlı Yazılım ve Siber Tehditleri Analiz Etmeyi Öğrenin

Kötü amaçlı yazılım ve kimlik avı analizi için ANY.RUN’un Etkileşimli Korumalı Alanının kullanımına ilişkin ayrıntılı kılavuza bakın
Her türlü tehdidi kolaylıkla araştırın.

Sistem ayarlarını değiştirme, kullanıcı girişini simüle etme ve hizmetleri yönetme yeteneği de dahil olmak üzere çok yönlülüğü, onu saldırganlar için güçlü bir araç haline getiriyor. Kötü amaçlı yazılımın kullanım kolaylığı ve zengin özellik seti, özellikle hedefli siber saldırılarda yaygın olarak kullanılmasına katkıda bulundu.

HERHANGİ BİR KOŞU NEDİR?

ANY.RUN, kötü amaçlı yazılım analizini kolaylaştırmak için dünya çapında 500.000’den fazla siber güvenlik uzmanının güvendiği bir yazılımdır. Etkileşimli sanal alanımız, hem Windows hem de Linux sistemlerini hedef alan tehditlerin hızlı ve etkili bir şekilde araştırılmasına olanak tanır.

Bunun yanı sıra tehdit istihbaratı araçlarımız:OF AramaYARA Arama ve Akışlar — IOC’leri veya dosyaları hızlı bir şekilde bulmanızı sağlayarak tehditleri anlamanıza ve olaylara müdahaleyi hızlandırmanıza yardımcı olur.

ANY.RUN ile şunları yapabilirsiniz:

  • Kötü amaçlı yazılımları saniyeler içinde tespit edin
  • Örnekleri gerçek zamanlı olarak analiz edin ve onlarla etkileşime geçin
  • Pahalı korumalı alan kurulumu ve bakımı ihtiyacını ortadan kaldırın
  • Ayrıntılı kötü amaçlı yazılım davranışını yakalayın ve inceleyin
  • Ekibinizle sorunsuz bir şekilde işbirliği yapın
  • İhtiyaçlarınızı karşılamak için zahmetsizce ölçeklendirin

Analyze your first URL right away Using ANY.RUN's New Safe Browsing Tool.



Source link