Verilerinizi siber tehditlerden koruyun: RedLine, Vidar ve FormBook bilgi hırsızları, bunların taktikleri ve ANY.RUN’ın sanal alanının kötü amaçlı yazılım saldırılarını analiz edip açığa çıkarmaya nasıl yardımcı olduğu hakkında bilgi edinin.
Kullanıcıların verileri siber suçlular için en değerli varlıktır. Bunu hedeflemek için bilgi hırsızları kullanırlar. ANY.RUN’ın 2024 2. Çeyrek Kötü Amaçlı Yazılım Trendleri raporuna göre, bilgi hırsızları en büyük dört küresel tehdit arasındaydı. Kuruluşlar en yaygın bilgi hırsızı ailelerinin nasıl çalıştığını anlamalı ve bu tür saldırıları açığa çıkarmak için uygun analiz araçlarına sahip olmalıdır.
Kırmızı cizgi
RedLine, COVID-19 ile ilgili saldırılarda yaygın olarak kullanıldığı 2020 yılından bu yana önemli bir bilgi hırsızı tehdidi olmuştur. Bu kötü amaçlı yazılım, tarayıcılardan, sistem ayarlarından, anlık mesajlaşma uygulamalarından ve dosya aktarım protokolü istemcilerinden gelen bilgileri hedef alır.
RedLine’ın yetenekleri arasında dosyaları yükleme ve indirme, komutları yürütme ve enfekte olmuş makine hakkında ayrıntıları raporlama yer alır. Saldırganlar, RedLine’ı fidye yazılımları, Uzaktan Erişim Truva Atları (RAT’ler), Truva atları ve kripto para madencileri sunmak için kullanabilir.
Sosyal mühendislik taktikleri, RedLine’ı çeşitli e-posta kampanyaları aracılığıyla yaymak için yaygın olarak kullanılır; bunlara iş e-postası ihlali, spam, sahte güncellemeler ve Google arama sonuçlarında kötü amaçlı reklamlar dahildir. Bu kampanyalar genellikle Office belgeleri, PDF’ler, RAR ve ZIP dosyaları, yürütülebilir dosyalar ve JavaScript dosyaları gibi çok çeşitli dosya biçimleriyle kötü amaçlı ekler veya bağlantılarla sonuçlanır.
Redline bilgi hırsızı saldırısının analizi
Bir Redline enfeksiyonunun nasıl ortaya çıktığını gözlemlemek için, bu kötü amaçlı yazılımın bir örneği ANY.RUN gibi bir kötü amaçlı yazılım deneme alanına yüklenebilir. Deneme alanı ortamı, ilk kimlik avı e-postasından veya dosya paylaşım web sitesinden başlayarak tüm saldırı zincirini izlememizi sağlar.
ANY.RUN’da Redline analiz edildi
Yukarıda, yürütülebilir bir dosyanın analizini içeren bir sandbox oturumu görüyoruz. Başlattıktan sonra sandbox, tarayıcı kimlik bilgilerini ve C2 iletişimini çalmak da dahil olmak üzere yazılım tarafından gerçekleştirilen kötü amaçlı etkinlikleri hemen kaydetmeye başlar.
Sandbox, Redline’ın faaliyetlerini yürütmek için MSBuild.exe’yi nasıl kullandığını gösteriyor
Suricata kurallarının entegrasyonu sayesinde, sanal alan aynı zamanda tehdit ile ilgili tüm kötü amaçlı ağ trafiğini de tespit ediyor.
Redline hırsızı tespiti için kullanılan tetiklenen bir Suricata kuralı
Analiz tamamlandıktan sonra, numunenin kalite göstergeleriyle birlikte ayrıntılı bir rapor toplayabiliriz.
Ücretsiz ANY.RUN hesabınızı oluşturun.
Daha öte
Vidar, başka bir trojan olan Arkei’den evrilen bilgi çalan bir kötü amaçlı yazılımdır. Bir hesap satın almak, saldırgana, bilgi çalan kötü amaçlı yazılımı kurbanın bilgisayarındaki belirli bilgileri hedefleyecek şekilde yapılandırabileceği bir kontrol paneline erişim sağlar. Vidar, birden fazla formattaki metin dosyalarını, tarayıcı çerezlerini ve geçmişini, tarayıcı kayıtlarını ve bankacılık ve kredi kartı bilgileri gibi otomatik doldurma değerli bilgilerini çalabilir.
Vidar ayrıca kripto para cüzdanı bilgilerini çıkarabilir, ekran görüntüleri alabilir ve çeşitli yazılım uygulamalarından özel mesajları kaydederek mesaj hırsızı olarak hareket edebilir. Saldırganlar Vidar enfeksiyonlarından ve Telegram botları aracılığıyla veri sızdırmalarından yararlanabilir.
Vidar bilgi çalma saldırısının analizi
Bir Vidar örneğinin sanal ortamda analizine geçtiğimizde, veri çalma aktivitesini anında tespit edebiliriz.
Çalıştırma sonrasında Vidar, web tarayıcılarından kimlik bilgilerini çekmeye başlar
Bu örneğin bir diğer dikkat çekici özelliği, saldırganların enfekte olmuş bilgisayarla iletişim kurmak için meşru bir hizmeti kullandığı durumlarda Dead Drop Resolver (DDR) tekniğinin kullanılmasıdır.
Bu durumda Vidar bir Steam hesabı kullanıyor.
The DDR tekniğini tanımlamak için Suricata kuralı kullanılır
Dosyayı kötü amaçlı olarak ifşa ettikten sonra, şuraya gidebiliriz: Yapılandırma Vidar’ın kodundan çıkarılan uzlaşma göstergelerine (IOC) erişim raporu.
ANY.RUN’daki Vidar yapılandırması – Burada, kötü amaçlı yazılımın kullandığı Steam URL’sini görebiliriz.
Form Defteri
FormBook, genellikle düşük teknik okuryazarlığa ve az programlama bilgisine sahip saldırganlar tarafından kullanılan, kötü amaçlı yazılım hizmeti olarak sunulan bir bilgi hırsızı trojanıdır. 2016’dan beri aktif olan FormBook, pandemi sırasında özellikle yaygınlaştı ve 2024’te de önemli bir tehdit olmaya devam ediyor. Kötü amaçlı yazılım hizmeti olarak dağıtılır ve herkes tarafından 30$ gibi düşük bir fiyata satın alınabilir.
RedLine gibi diğer kötü amaçlı yazılımları da bırakabilen daha gelişmiş kötü amaçlı yazılımların aksine, FormBook yalnızca enfekte olmuş makinelerden veri sızdırmaya odaklanır. Buna önbelleğe alınmış tarayıcı kimlik bilgileri, uygulamalardan gelen veriler, tuş vuruşları ve pano içerikleri dahildir.
FormBook Bilgi Hırsızı Saldırısının Analizi
Formbook örnek analizi birkaç önemli ayrıntıyı ortaya çıkarır. Sandbox, kötü amaçlı yazılımın kayıt defterindeki otomatik çalıştırma değerini değiştirerek sistemde nasıl kalıcılık sağladığını vurgular.
Formbook kişisel verileri çalmaya başladı
Kamuya açık analizler için, örneğin yürütülmesi sırasında kaydedilen Formbook’taki faaliyetlere ilişkin yapay zeka tarafından oluşturulan bir rapora da erişebiliriz.
Yapay Zeka raporu örnek tarafından gerçekleştirilen eylemleri özetler ve açıklar
Enfeksiyon süreci boyunca gerçekleşen tüm önemli olayları analiz ettikten sonra, numuneye ait bir rapor indirebiliriz.
Rapor, örneğin kötü niyetli davranışlarına ve IOC’lerine genel bir bakış sunar
ANY.RUN Sandbox’ı ücretsiz deneyin
Windows 10 x64 ve Linux sanal makinelerinizdeki kötü amaçlı yazılım ve kimlik avı tehditlerine ilişkin örneklerinizi analiz etmek için iş e-postanızı kullanarak ücretsiz bir ANY.RUN hesabı oluşturabilirsiniz.
Bu bulut sanal alanı, standart bir bilgisayarda olduğu gibi dosyalarla, URL’lerle ve sistemle etkileşime girmenizi, ekleri indirmenizi ve açmanızı, CAPTCHA’yı çözmenizi ve hatta tüm sistemi yeniden başlatmanızı sağlar.
ANY.RUN’ın resmi web sitesi üzerinden talepte bulunarak, özel mod, Windows 11 ve Teamwork özelliklerini sunan 14 günlük ücretsiz deneme sürümüyle ANY.RUN’ın gelişmiş özelliklerini deneyebilirsiniz.
İLGİLİ KONULAR
- VirusTotal, Kötü Amaçlı Yazılım Yaymak İçin En Çok Kullanılan Uygulamaları Açıkladı
- Konni RAT, Windows’tan Veri Çalmak İçin Word Belgelerini Kullanıyor
- Arid Viper’ın AridSpy Truva Atı Filistin ve Mısır’daki Android Kullanıcılarını Vurdu
- Suçlu IP Snowflake Marketplace’te Sahtekarlık Tespit Ürünlerini Başlatın
- LummaC2 v4.0, İnsan Kullanıcıları Tespit Etmek İçin Trigonometri ile Veri Çalıyor