Kransom fidye yazılımı, DLL yan yükleme ve COGNOSPHERE PTE. LTD’den alınan meşru bir sertifika kullanarak StarRail oyunu içinde gizlenir. Algılamayı atlatarak, bu kötü amaçlı yazılım şifrelenmiş bir yük iletir. Bunu ANY.RUN’ın etkileşimli sanal alanında analiz edin.
ANY.RUN’daki araştırmacılar, Kransom fidye yazılımının tespit edilmekten kaçınmak için bir oyun gibi gizlendiğini keşfetti. Bu kötü amaçlı yazılım, COGNOSPHERE PTE. LTD’den meşru bir sertifika kullanarak yükünü yürütmek için DLL yan yüklemesini kullanır. İkincisi, saldırısına fazladan bir aldatma katmanı ekler.
Kransom Fidye Yazılımına Genel Bakış
Fidye yazılımı yürütme akışı
Kransom fidye yazılımı, kullanıcıları kandırmak için bir cephe olarak kullanılan meşru bir yazılım olan StarRail oyunu içinde ustaca gizlenmiştir. Kötü amaçlı yazılım, şifrelenmiş fidye yazılımı kodunu içeren oyunla aynı dizinde depolanan bir DLL dosyasına güvenir.
Bu, meşru bir yürütülebilir dosyanın kötü amaçlı bir DLL’yi yüklemesi ve fidye yazılımının yürütme akışını ele geçirmesine olanak tanıması durumunda klasik bir DLL yan yükleme durumudur.
Kötü Niyetli Meşru Sertifika
Kransom’un en aldatıcı unsurlarından biri, COGNOSPHERE PTE. LTD’den meşru bir sertifika kullanmasıdır. Güvenilir bir sertifika kullanarak, kötü amaçlı yazılım, sistem yazılımı zararsız olarak tanıdığı için birçok geleneksel güvenlik önlemini aşabilir.
ANY.RUN’da geçerli sertifika görüntüleniyor
Ancak, StarRailBase.dll yürütülebilir dosya tarafından yüklendiğinde kötü amaçlı eylemler gerçekleşir ve fidye yazılımı saldırısı başlatılır.
Kransom Fidye Yazılımı Nasıl Çalışır?
Kransom fidye yazılımının nasıl çalıştığını gözlemlemek için, bu kötü amaçlı yazılımın bir örneği ANY.RUN gibi bir kötü amaçlı yazılım sanal alanına yüklenebilir. Sanal alan, herkesin kötü amaçlı yazılımın yürütme sürecinin başlangıç aşamalarından yükünün tamamlanmasına kadar tam bir analizini yapmasına olanak tanır.
Meşru StarRail oyun, kötü amaçlı yazılımın varlığı olmadan işlev görmeyecek olan fidye yazılımı için bir maske görevi görür StarRailBase.dll Bu DLL, fidye yazılımının şifrelenmiş yükünü içerir ve bu yük daha sonra oyunun EXE dosyası tarafından yürütülür.
ANY.RUN’daki DLL dosyası tarafından yürütülen kötü amaçlı etkinlik
Oyunun şu şekilde olduğunu belirtmek gerekir: StarRailtarafından geliştirildi HoYoverseorijinal haliyle kullanıldığında tamamen güvenlidir. Ancak Kransom, kötü amaçlı kodunu aynı klasöre yerleştirmek için oyunun yapısından yararlanır ve kullanıcıların olağandışı bir şey fark etmesini zorlaştırır.
DLL içindeki fidye yazılımı kodu XOR kullanılarak şifrelenir ve bu da tespit edilmesini zorlaştırır. ANY.RUN gibi araçlar, güvenlik analistlerinin XOR’lanan şeyleri ortaya çıkarmasına yardımcı olarak kötü amaçlı içerik hakkında önemli bilgiler sağlayabilir.
ANY.RUN sanal alanında görüntülenen XOR-URL
Fidye yazılımı etkinleştirildiğinde, kullanıcılar şu mesajla karşılaşır: “Bazı sorunlarla karşılaştığınızı düşünüyorum. Çözümler için hoyoverse’e e-posta gönderin.”
ANY.RUN’ın sanal alanı içinde analiz edilen fidye notu
Bu kötü amaçlı yazılımın daha kapsamlı bir analizini, ANY.RUN’ın TI Lookup aracında ek örnekler arayarak yapabilirsiniz.
ANY.RUN’ın TI Aramasındaki Örnekler
ANY.RUN Sandbox’ı Ücretsiz Deneyin
Kendi kötü amaçlı yazılımlarınızı ve kimlik avı örneklerinizi tamamen etkileşimli bir Windows 10 x64 veya Linux VM ortamında analiz etmek için e-postanızı kullanarak ücretsiz bir ANY.RUN hesabı oluşturun.
ANY.RUN’ın bulut sanal alanı, standart bir bilgisayar kullanıyormuşsunuz gibi dosyalarla, URL’lerle ve sistemle etkileşim kurmanızı sağlar. Ekleri indirebilir, CAPTCHA’ları çözebilir ve hatta analiz sırasında tüm sistemi yeniden başlatabilirsiniz.
Özel mod ve işbirliği araçları gibi gelişmiş özellikler için ANY.RUN’ın resmi web sitesinden doğrudan 14 günlük ücretsiz deneme talebinde bulunabilirsiniz.
İLGİLİ KONULAR
- En İyi Bilgi Hırsızlarının Analizi: Redline, Vidar ve Formbook
- Yeni fidye yazılımı dosyaları kilitliyor ve kurbanlardan PUBG oyunu oynamalarını istiyor
- Bu Fidye Yazılımı, kullanıcılara bir Japon oyunu oynamalarını söylüyor – Hepsi bu
- PythonAnywhere Bulut Platformu Fidye Yazılımını Barındırmak İçin Kötüye Kullanıldı
- Yeni Fidye Yazılımı, Verileri Şifrelerken Kullanıcıdan Oyun Oynamasını İstiyor