Deerstealer kötü amaçlı yazılımları, “topraktan yaşamak” (Lolbin) olarak bilinen bir teknikte meşru pencere ikili dosyalarını kullanan silahlandırılmış.
Kötü amaçlı yazılım, “Report.lnk” adlı meşru bir PDF belgesi olarak maskelenirken, meşru bir Microsoft HTML uygulama ana bilgisayar yardımcı programı olan MSHTA.EXE’yi kullanan karmaşık bir çok aşamalı saldırı zincirini gizlice yürütür.
Saldırı, Microsoft’un geleneksel güvenlik önlemlerini atlamak için kendi araçlarını kullanan kötü amaçlı yazılım dağıtım mekanizmalarında önemli bir evrimi temsil ediyor.
Kötü niyetli .lnk dosyası, nihayetinde DeerStealer yükünü dağıtmadan önce birden fazla sistem ikili dosyasında ilerleyen dikkatle düzenlenmiş bir yürütme dizisi başlatır.
Bu yaklaşım, güvenlik sistemlerinin meşru işletim sistemi bileşenlerine yerleştirdiği doğal güvenden yararlanarak algılamayı çok daha zor hale getirir.
LinkedIn analistleri ve araştırmacıları, bu kampanyayı özellikle sofistike kaçış teknikleri ve MSHTA.EXE’nin kötü niyetli kullanımını kapsayan MITER ATT & CK Framework Teknik T1218.005’in kötüye kullanılması nedeniyle tanımladılar.
Araştırmacılar, saldırının dinamik yol çözümü ve gizlenmiş komuta yürütme konusundaki güveninin, kötü amaçlı yazılım sofistikeinde dikkate değer bir ilerlemeyi temsil ettiğini belirtti.
Yürütme zinciri ve enfeksiyon mekanizması
Deerstealer enfeksiyonu, beş aşamalı hassas bir yürütme zincirini takip eder: .lnk → mshta.exe → cmd.exe → powershell → Deersteer.
Başlangıç .lnk dosyası gizlice mshta.exe’yi imza tabanlı algılama sistemlerinden kaçınmak için joker yollar kullanarak ağır gizlenmiş komut dosyalarını yürütmeye çağırır.
.webp)
Kötü amaçlı yazılım, System32 dizinindeki MSHTA.EXE’ye giden tam yolu dinamik olarak çözer ve belirli bayraklarla ve ardından gizlenmiş Base64 dizeleri ile başlatır.
Yürütme sırasında gizliliği korumak için, hem günlük hem de profil oluşturma yetenekleri devre dışı bırakılır ve adli görünürlüğü önemli ölçüde azaltır.
Komut dosyası, karakterlerin çiftler halinde işlendiği, onaltılık ve ASCII formatına dönüştürülen, daha sonra PowerShell’in IEX (Invoke-ekspresyonu) cmdlet aracılığıyla yürütülebilir komut dosyalarına yeniden monte edildiği sofistike bir karakter kod çözme mekanizması kullanır.
Bu, kötü niyetli mantığın çalışma zamanına kadar gizli kalmasını sağlar ve statik analiz araçlarını etkili bir şekilde atlar.
Son yük teslimatı, gizlenmiş dizilerden dinamik URL çözünürlüğünü, kurbanları rahatsız etmek için bir tuzak PDF belgesinin eşzamanlı olarak indirilmesini ve ana yürütülebilir dosyanın AppData dizinine sessiz kurulumunu içerir.
Meşru PDF, Adobe Acrobat’ta bir saptırma taktiği olarak açılırken, kötü amaçlı yazılım kalıcılık oluşturur.
Uzlaşmanın temel göstergeleri arasında alan tripplefury[.]com ve sha256 karma fd5a2f9eed065c5767d5323b8d928ef8724e2edba3e4c83e211edf9ff0160 ve 8F49254064D534459B7EC60BF4E21F75284FBABFAEA511268C478E15F1ED0DB9.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.