Formbook kötü amaçlı yazılımlarından yararlanan yeni bir kampanya ortaya çıktı; bu kampanya, kötü amaçlı yazılım araştırmaları sırasında yürütülebilir dosyalardan daha fazlasını analiz etmenin önemini vurgulayan, karmaşık, çok aşamalı enfeksiyon taktiklerini sergiliyor.
SANS FOR610 gibi kurslarda kötü amaçlı yazılımlara tersine mühendislik öğretirken, tersine mühendisliğin yalnızca PE veya ELF ikili dosyaları için değil enfeksiyon zincirindeki her bileşen için geçerli olduğunun ele alınması kritik öneme sahiptir. Son saldırı yolu tam olarak bunun nedenini vurguluyor.
Enfeksiyon, ZIP arşiv eki içeren bir kimlik avı e-postasıyla başlar. ZIP dosyası aldatıcı bir şekilde adlandırılmış tek bir komut dosyasını barındırır: Payment_confirmation_copy_30K__202512110937495663904650431.vbs.
Bu dosyanın karmaşık yapısı ve düşük antivirüs algılama oranı, VirusTotal’da onu işaretleyen 65 motordan yalnızca 17’si, tehdidin kaçamak yapma becerisini gösteriyor.
VBS Komut Dosyasını Gizleme Taktikleri
VBS dosyasını açmak klasik anti-analiz hilelerini ortaya çıkarır. Betik, aşağıdakiler kullanılarak uygulanan özel bir gecikme döngüsüyle başlar: DateAdd Ve Wscript.Sleep işlevler.
Bu 9 saniyelik duraklama, genellikle standardı işaretleyen tespit mekanizmalarının atlanmasına yardımcı olur sleep şüpheli olarak işlev görür. Gecikmenin ardından komut dosyası, oldukça karmaşık bir PowerShell verisi oluşturmaya başlar.
Dize birleştirme, gerçek komutu gizleyerek “PowerShell” gibi anahtar kelimeleri karakter kodlarının matematiksel manipülasyonlarının arkasına gizler.
Bu yöntem sayesinde, komut dosyası yavaş yavaş çalıştırılmak üzere yeni bir dizi komut oluşturur. Shell.Applicationstatik analizi daha da karmaşık hale getirir.
Son Derece Karmaşık PowerShell
Yürütüldüğünde, oluşturulan PowerShell betiği gizleme modelini sürdürür. Özellikle iki işlev Microcoulomb Ve Blokbogstavers65 bu karmaşıklığın merkezinde yer alıyor.
Microcoulomb işlevi, girdisinden belirli karakterleri çıkararak dizeleri akıllıca yeniden yapılandırır ve sonraki veri yükleme işlemleri için gerekli kritik anahtar sözcükleri üretir.
Örneğin, yeniden oluşturulan değişken, tekrarlanan işlemlerden sonra, ağ iletişimi için temel bir bileşen olan “nET.wEBClIent”i ortaya çıkarır.
Blokbogstavers65 giriş noktası olarak hizmet ederek işleri basitleştirir Invoke-Expressiondinamik olarak hazırlanmış kod bölümlerini yürütür. Bu katmanlı gizleme, saldırganların hem otomatik hem de manuel incelemeden kaçmasına olanak tanır.
Yük indirme mekanizması, bir dosyayı sürekli olarak bir yerden almaya çalışan bir döngü içinde kilitlenir. hxxps://drive[.]google[.]com/uc?export=download&id=1jFn0CatcuICOIjBsP_WxcI_faBI9WA9S.
Alındıktan sonra şu şekilde saklanır: C:\Users\REM\AppData\Roaming\budene.con. Bu dosyanın kodunun çözülmesi, gizleme ve algılamayı durdurma zincirini koruyan başka bir PowerShell betiğini daha ortaya çıkarır.
Süreç Yoluyla Formbook Ekleme
Nihai adım süreç enjeksiyonundan yararlanır. Senaryo başlatılıyor msiexec.exeiçine Formbook kötü amaçlı yazılımını enjekte ediyor.
Enjekte edilen ikili C:\Users\REM\AppData\Local\Temp\bin.exe (SHA256:12a0f592ba833fb80cc286e28a36dcdef041b7fc086a7988a02d9d55ef4c0a9d), komuta ve kontrol sunucusuyla şu adreste iletişim kurar: 216[.]250[.]252[.]227:7719.
Meşru süreçlerin ve bellek enjeksiyonunun kullanılması, kötü amaçlı yazılımın geleneksel uç nokta savunmalarının çoğunu atlayarak gizlice çalışmasına olanak tanır.
Bu kampanya, güvenlik analistlerinin komut dosyaları ve PowerShell yüklerinden nihai yürütülebilir dosyalara kadar tüm enfeksiyon zinciri boyunca tersine mühendislik becerilerini uygulamasının gerekliliğini ortaya koyuyor.
Gizleme, analiz önleme gecikmeleri ve çok aşamalı komut dosyası yürütme, tespit ve analiz çalışmalarını karmaşık hale getirerek, savunmacıların bir olaya dahil olan her dosyayı ve süreci neden incelemesi gerektiğini vurguluyor.
Analistler, yalnızca her katmanı çözerek, Formbook’un arkasındakiler gibi modern kötü amaçlı yazılım yazarlarının kullandığı taktikleri, teknikleri ve prosedürleri tam olarak ortaya çıkarabilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.