Yeni keşfedilen TangleCrypt adlı Windows kötü amaçlı yazılım paketleyicisi, fidye yazılımı saldırılarında ciddi bir tehdit olarak ortaya çıktı ve özellikle uç nokta algılama ve yanıt (EDR) çözümlerinden kaçmak için tasarlandı.
Paketleyici ilk olarak Eylül 2025’te Qilin fidye yazılımını içeren bir fidye yazılımı olayında gözlemlendi; tehdit aktörleri kurban sistemleri şifrelemeden önce güvenlik araçlarını devre dışı bırakmak için ABYSSWORKER sürücüsünün yanında onu konuşlandırdı.
TangleCrypt, kötü amaçlı yükleri birden fazla kodlama, sıkıştırma ve şifreleme katmanı aracılığıyla gizleyerek çalışır. Orijinal yürütülebilir dosya, base64 kodlaması, LZ78 sıkıştırması ve XOR şifrelemesi kullanılarak PE kaynakları içinde depolanır.
Bu çok katmanlı yaklaşım, geleneksel güvenlik araçlarının, paketlenmiş yürütülebilir dosyanın içinde gizlenen gerçek kötü amaçlı yazılımı tespit etmesini zorlaştırır.
WithSecure Labs güvenlik araştırmacıları, bir olay müdahale araştırması sırasında kötü amaçlı yazılımı tespit ederek, TangleCrypt ve VMProtect ile paketlenmiş iki yürütülebilir dosyanın yanı sıra CrowdStrike Falcon Sensor sürücüsü gibi görünen bir çekirdek sürücüsü de dahil olmak üzere eserleri kurtardı.
Bu yürütülebilir dosyalara gömülü olan yükün, sistemde çalışan güvenlik işlemlerini zorla sonlandırmak için ABYSSWORKER sürücüsünü kullanan bir EDR öldürücü araç olan STONESTOP olduğu belirlendi.
Paketleyici, hem statik hem de dinamik analizi engellemek için dize şifrelemeyi ve dinamik içe aktarma çözümlemesini kullanır.
Her ne kadar kötü amaçlı yazılım yazarları bu teknikleri yaygın olarak kullansa da, TangleCrypt uygulaması gelişmiş anti-analiz mekanizmalarından yoksundur ve bu da deneyimli analistler için manuel paket açma işlemini nispeten basit hale getirir.
Yük Yürütme Mekanizması
TangleCrypt, yerleşik yürütülebilir dosyaya eklenen bir yapılandırma dizesi tarafından belirlenen yükünü başlatmak için iki farklı yöntemi destekler.
“exex64_amd64_block_” dizesiyle tanımlanan ilk yöntem, aynı işlem belleği içindeki yükün şifresini çözer ve çalıştırır.
“exex64_amd64__riin” ile işaretlenen ikinci yöntem, askıya alınmış bir alt süreç oluşturur ve yürütmeye devam etmeden önce şifresi çözülmüş veri yükünü bu süreç içerisine yazar.
.webp)
Yürütüldüğünde, yükleyici ilk önce “175438” gibi sayısal bir anahtar içeren küçük bir kaynak girişinin şifresini çözer. Bu anahtar daha sonra PE kaynaklarında depolanan daha büyük yükün XOR şifresini çözmek için kullanılır.
Şifre çözme işlemi, base64 ile kodlanmış bir dizinin kodunun çözüldüğü, ardından LZ78’in sıkıştırmasının açıldığı, base64’ten tekrar kodunun çözüldüğü ve son olarak orijinal yürütülebilir dosyayı ortaya çıkarmak için XOR’un şifresinin çözüldüğü belirli bir sırayı takip eder.
Paketin başarılı bir şekilde açılmasının ardından, STONESTOP verisi yönetici ayrıcalıklarını kontrol eder ve yükseltilmiş haklar mevcutsa ABYSSWORKER sürücüsünü kaydeder.
Sürücü daha sonra, önceden tanımlanmış bir güvenlik ürünü adları listesiyle eşleşen işlemleri sonlandırır ve fidye yazılımı dağıtımı başlamadan önce sistemin savunmasını etkili bir şekilde kör eder.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
