Point Wild’s LAT61 Tehdit İstihbarat ekibindeki siber güvenlik araştırmacıları Backdoor.Win32.Buterat. Program, saldırganların ağları ihlal etmesini, hassas bilgileri çalmasını ve ek kötü amaçlı araçlar bırakmasını sağlayan uzun süreli enfeksiyon için tasarlanmıştır.
Hedeflenen bir cihazı enfekte ettikten sonra, genellikle bir kimlik avı e -postası veya sahte bir kötü niyetli indirme yoluyla, normal sistem işlemlerinin içinde gizlenir ve yeniden başlatmalardan kurtulmak ve yerinde kalmak için kayıt defteri anahtarlarında değişiklik yapar.
Araştırmacılara göre, buterat arka kapı başlangıçta hükümeti ve işletme ağlarını hedefleyen tespit edildi. Yayın öncesinde Hackread.com ile paylaşılan blog yazılarında, araştırmacılar Buterat Backdoor’un gelişmiş süreç ve SetThreadContext gibi iş parçacığı manipülasyon tekniklerini kullandığını ve yürütme akışını ele geçirmeye devam ettiğini ve güvenlik sistemlerinin aradığını önleyerek kaydetti.
Daha da kötüsü, Buterat aynı zamanda çoğu cihazın güvendiği kimlik doğrulama sistemlerini atlayabilir. Arka kapı, şifreli ve gizlenmiş kanallar kullanarak uzaktan komut ve kontrol (C2) sunucuları ile iletişim kurar, bu da normal ağ izlemesini tespit etmeyi son derece zorlaştırır.
Canlı test sırasında, araştırmacılar kötü amaçlı yazılımların enfekte olmuş sistemlere birden fazla yük bıraktığını gözlemlediler. Gibi adları olan dosyalar amhost.exe Ve bmhost.exe her biri kontrolün korunmasında rol oynamak ve operasyonun arkasındaki saldırganların yeteneklerini artırmak için tasarlanmış Windows kullanıcı dizinine yerleştirildi.
Bunu, barındırılan bir C2 sunucusuyla iletişim kurma girişimleri izledi. ginomp3.mooo.comexfiltrasyon ve ek komut yürütme için uzaktan kumanda merkezi görevi görür.
Point Wild’ın CTO’su Dr. Zulfikar Ramzan, bir uyarı ile özetledi: “Buterat yumuşak bir şekilde konuşuyor, ancak büyük bir sopa taşıyor. Bu arka kapı meşru iplikleri kaçırıyor, normal bir süreç olarak karışıyor ve sessizce telefon ediyor.”
Peki şirketler sistemlerini Buterat’a karşı korumak için ne yapabilir? Uzmanlar, özellikle buterat arka kapısı ile ilişkili olan gibi şüpheli alanları tanımlamak için uç nokta koruması, davranışsal analiz araçları ve ağ izlemeyi kullanmanızı önerir.
Çalışan eğitimi ve sağduyu da kötü amaçlı yazılım ve kimlik avı saldırılarıyla mücadelede kilit faktörlerdir. Kimlik avı e -postaları ve kötü niyetli ekler yaygın teslimat yöntemleri olarak kaldığından, şüpheli mesajları tespit etme konusunda çalışan eğitimi gereklidir. Truva edilmemiş yazılım indirmelerinden kaçınmak, açıklanmamış kaynaklardan kaynaklanan başka bir adımdır.