DarkGate, Auto-It derlenmiş yükleyicileri kullanan ve gelişmiş kaçınma stratejileri ve güvenliği ihlal edilmiş sistemlerdeki kalıcılığı nedeniyle önemli bir tehdide neden olan bir kötü amaçlı yazılım türüdür.
Kötü amaçlı yazılım, karmaşık AutoIt komut dosyaları ve çok aşamalı yükleri kullanarak, geleneksel imza tabanlı teknikler kullanılarak tespit edilmesini daha da zorlaştırıyor.
Komuta ve kontrol iletişimlerini elde etme ve hassas verileri sızdırma kapasiteleri nedeniyle titiz tespit ve analiz gereklidir.
AutoIt komut dosyası dili, özellikle Windows GUI’sini ve genel komut dosyası oluşturma görevlerini otomatikleştirmek için oluşturuldu. 2008 yılına kadar uzanan AutoIt tarafından derlenen kötü amaçlı yazılımlar da dahil olmak üzere, tarih boyunca kötü amaçlı amaçlarla kullanılmıştır.
Splunk araştırmacıları, “Kötü amaçlı yazılım yaratıcıları, AutoIT’in çok yönlülüğünden, yükün şifresini çözmek için gizlenmiş komut dosyaları kullanmak, BaSupportVNC gibi meşru araçlar kullanmak ve hatta çıkarılabilir medya ve Windows paylaşımları aracılığıyla yayılabilen solucanlar oluşturmak gibi çeşitli yollarla yararlandı” dedi.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
DarkGate Kötü Amaçlı Yazılımına İlişkin Bilgiler ve AutoIt Kullanımı
Araştırmacılar, saldırıya uğramış sistemlerde DarkGate’i başlatmayı amaçlayan bir yükleyici kullanan birkaç kampanya keşfetti. Bunun bir örneği, taşıyıcı görevi gören ve kötü amaçlı bir CAB dosyasının indirilmesine neden olan kötü amaçlı PDF dosyalarının keşfedilmesi olabilir.
Bu CAB dosyası da DarkGate kötü amaçlı yazılımını içeren ve yükleyen bir.MSI dosyasını indirir. Bu dosya, DarkGate’in çalışması için gerekli olan iki.BIN dosyası, bir DLL modülü ve meşru wndbg.exe dahil olmak üzere bir dizi dosyayı yüklüyor gibi görünüyor.
Farklı bir varyasyonda, hedeflenen ana bilgisayarın kurulum sürecine başka bir .CAB yükleyicisi ekleyerek enfeksiyon stratejisini genişletir. Bu geliştirilmiş strateji, seçtikleri enfeksiyon mekanizmasının karmaşıklığını ve karmaşıklığını vurgulayarak tehdit aktörlerinin tespit edilmekten kaçınmaya yönelik süregelen girişimlerini öne çıkarıyor.
Four.png dosyaları, gözlemciyi DarkGate operasyonunun önemli kısımlarından gizlemek veya yanıltmak için yalnızca kukla veya tuzak olarak kullanılır.
“.CAB dosyasında bir dosya koleksiyonu belirlendi. Araştırmacılar, bu dosyalar arasında DarkGate kötü amaçlı yazılımının başlatılmasını sağlayan önemli bileşenlerin arasında Windbg.exe, dbgeng.dll, data.bin ve data2.bin yer aldığını belirtti.
.CAB dosyasının kötü amaçlı kurulumunun sonraki aşaması, DLL yan yükleme teknikleri yoluyla özel olarak tasarlanmış bir dbgeng.dll dosyasını yürütmek için Windbg.exe’nin kullanılmasını gerektirir.
Data2.bin, ‘splitres’ dizesiyle ayrılmış iki kodlanmış dosya içerir. Base64 işleminden kodu çözülecek ilk dosya, oluşturulmuş bir script.au3 AutoIt betiği olan ikinci dosyayı çalıştırmak için kullanılan meşru bir Autoit3.exe’dir.
Son yükleyici, DarkGate kötü amaçlı yazılımının şifresini çözmek için tasarlanmış hem bir kabuk kodunu hem de bir .exe dosyasını kapsar.
Bu nedenle DarkGate’in değişen tekniklerine karşı güçlü bir savunma sağlamak, güncellenmiş savunma sistemlerine ek olarak sürekli izlemeyi gerektirir.
Dijital sistem güvenliğini değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini deneyin. Ücretsiz demo mevcut.