Deerstealer Infosterer’ı son derece gizlenmiş çok aşamalı zincirler aracılığıyla teslim etmek için toplu olarak yaşayan ikili dosyalar ve komut dosyaları (lolbin/s) olarak bilinen meşru sistem kamu hizmetleri ile birleştirilen Windows kısayol dosyalarını (.lnk) sömüren yeni bir siber saldırı dalgası ortaya çıktı.
Son kampanyalar, genellikle “Report.lnk” gibi yanıltıcı adları kullanarak veya PDF simgeleri olarak görünen, görünüşte iyi huylu belgeler olarak kamufle edilmiş silahlandırılmış .lnk dosyaları içeren kimlik avı e -postaları veya hileli dosya paylaşımları ile başlar.
Bir kurban LNK dosyasını yürüttüğünde, yerel Windows İkili’yi gizlice başlatır mshta.exe.
Geter ATT & CK Techniği T1218.005’ten yararlanan MSHTA.EXE, rakipler tarafından, Windows işletim sistemine imzalı, güvenilir bir ikili ikili olarak komut dosyası yürütülmesi ile uygulama kontrollerini, uç nokta korumasını ve günlüğe kaydederek kullanılır.
Gizleme bu kampanyanın önemli bir ayırt edici özelliğidir. LNK dosyası, temel 64’te sıklıkla kodlanan veya statik imza algılamasını devre dışı bırakan joker dosya sistemi yolları aracılığıyla daha fazla gizlenen yoğun şekilde karıştırılmış PowerShell komutlarını yerleştirir.
Yürütme zinciri, CMD.EXE ve ardından PowerShell üzerinden ek komut dosyaları düşüren ve yürüten MSHTA.EXE üzerinden ilerler.
Özellikle, Powershell çalışma zamanında System32 mSHTA.EXE yolunu dinamik olarak çözer, gizlenmiş argümanlarla başlatır ve adli artefaktları en aza indirmek için teşhis günlüğünü ve profillemeyi devre dışı bırakır.
Dinamik komut dosyası yürütme
Çekirdek kötü niyetli yük, Deersteer, hem teknik sofistike hem de gelişmiş kaçak manevraları vurgulayan bir dizi adımla arka planda teslim edilir.
İlk damlalık aşamasından sonra, saldırı, aşamalı komut dosyasını yeniden yapılandırmak için onaltılık temsilleri ASCII’ye dönüştüren çiftler halinde karakterleri çözmek için PowerShell kullanır.
PowerShell’in çağırma ekspresyonu (IEX) kullanılarak monte edildikten ve yürütüldüğünde bu senaryo, çalışma zamanına kadar neredeyse görünmez kalır.
Gecikme mekanizmaları, URL’ler ve ikili dosyalar içeren dinamik dizilerin gizlendiği ve sadece bellekte çözüldüğü bir sonraki aşamalara kadar uzanır.
Bu sadece geleneksel algılama yöntemlerini engellemekle kalmaz, aynı zamanda altyapıyı çevik ve esnek tutar.
Şüpheyi en aza indirmek için Deersteer, kullanıcıya devam eden arka plan etkinliğini gizleyen Adobe Acrobat aracılığıyla sunulan iyi huylu görünümlü bir PDF belgesini indirir.
Eşzamanlı olarak, çekirdek bilgi çalma yürütülebilir dosyası, kurbanın AppData dizinine sessizce yazılır ve görünür istemler olmadan başlatılır.
Daha sonra kötü amaçlı yazılım, kayıt defteri anahtarlarını değiştirerek veya planlanan görevler oluşturarak, yeniden başlatmalardan kurtulabilmesini ve ana bilgisayarda yerleşik kalmasını sağlayarak sistemde devam eder.
Any. run sanal alan analizi
Any.Run gibi dinamik kum havuzu aletleri, bu tür bir kaçamak kötü amaçlı yazılımın tam yürütme grafiğinin yapısökümünde çok önemlidir.
Proses izleme ve bellek enstrümantasyonunu kullanarak analistler, Veri Defilatasyonuna kadar MSHTA.EXE ve PowerShell kod çözme yoluyla LNK yürütmesinden akışı izledi.
Özellikle, DeerStealer temel analizi önlemek için anti-sandbox ve VM anti-VM kontrolleri kullanır ve sadece meşru donanım üzerindeki kötü amaçlı rutinlerini aktive eder.
Deersteer, geniş bir veri yelpazesi hasat konusunda uzmanlaşmıştır: tarayıcılardan ve anlık mesajlaşma istemcilerinden kimlik bilgileri, çok sayıda blok zincirinde kripto para birimi cüzdanları ve hassas otomatik doldurma verileri.
Eksfiltrasyonlu yükler, proxy alanları ile sıklıkla korunan uzaktan komut ve kontrol (C2) sunucularına gönderilen şifreli kaplara derlenir.
İmzalı Windows ikili dosyalarının kötüye kullanılması, PowerShell tomrukçomunun seçici olarak devre dışı bırakılması ve çok çeşitlendirilmiş yük dağıtım yolları göz önüne alındığında, kurumsal ortamlarda hafifletme ve tespit özellikle zordur.
Güvenlik organizasyonları atipik MSHTA veya PowerShell Invocations’ı izlemeye, çocuk proses ağaçlarını izlemeye, AMSI (antimalware tarama arayüzü) entegrasyonunu etkinleştirmeye ve anormallikler için giden ağ trafiğini incelemeye teşvik edilir.
Uzlaşma Göstergeleri (IOC)
| Tip | Değer |
|---|---|
| Kötü niyetli url | https://tripplefury[.]com/ |
| Sha-256 karma | FD5A2F9ED065C576D5323B8DD928EF8724EA2EDEA3E4C83E211EDF9F0160 |
| Sha-256 karma | 8F4925406D53459B7EC60BFF4E21F75284FBABAEAA511268C478E15F1ED0DB9 |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now