Kritik bir siber güvenlik tehdidi, Formbook kötü amaçlı yazılımlarının en son analizinde ayrıntılı olarak açıklandığı gibi Microsoft Windows kullanıcılarını hedefleyen ortaya çıktı.
Kapsamlı bir form kitabı analiz blogunun II. Bölümünde belgelenen bu kötü amaçlı yazılım varyantı, saldırganların bir kurbanın bilgisayarı üzerinde tam uzaktan kumanda kazanmalarını sağlayarak ciddi bir risk oluşturmaktadır.
Başlangıçta CVE-2017-11882 güvenlik açığından yararlanan kimlik avı e-postaları aracılığıyla teslim edilir, Bölüm I’de tartışıldığı gibi, Formbook’un en son taktikleri, yükünü indirmek ve şifresini çözmek için 64 bit DLL’nin yürütülmesini, sahte bir PNG dosyasında gizlenmesini ve ImagingDevices gibi meşru süreçlere enjekte edilmesini içerir.
.png
)
Fortinet raporuna göre, bu yüksek şiddetli tehdit, Windows kullanıcılarını küresel olarak etkiliyor ve tespit edilen sistemlerde kalıcılığı korumak ve korumak için sofistike anti-analiz yöntemlerinden yararlanıyor.
Uzaktan kumanda özellikleri
Formbook yükü, gerçek kodunu gizlemek için karmaşık bir şifre çözme rutini kullanan ImagingDevices.exe içinde 32 bitlik bir ortamda çalışır ve yalnızca son yürütme aşamasındaki giriş noktasını ortaya çıkarır.
Anti-analizi cephaneliği, API çağrılarını gizlemek, gizlenmiş pencere modüllerini ve API’leri dinamik olarak çözmek ve sadece yürütme sırasında şifre çözülen ve daha sonra yeniden şifrelenmiş 100’den fazla temel işlevi şifrelemek için yinelenen bir ntdll.dll dahildir.
Sandbox ortamlarını engellemek için, Formbook sanal makine işlemleri, “\ cuckoo \” veya “\ sandbox \” gibi kara listeye alınmış klasör yolları ve otomatik analiz sistemlerini gösteren şüpheli kullanıcı adları.
Ayrıca çekirdek ve kullanıcı modu hata ayıklayıcıları için anti-tahrip kontrolleri kullanır ve cennetin kapı tekniğini 32 bit ve 64 bit kod arasında geçiş yapmak için siber güvenlik araştırmacılarının hata ayıklama çabalarını karmaşıklaştırır.
Bu tür taktikler statik ve dinamik analizi son derece zorlaştırır ve Formbook’un enfekte olmuş sistemlerde tespit edilmemesine izin verir.
Kaçınmanın ötesinde, Formbook’un operasyonel yetenekleri endişe verici bir şekilde kapsamlıdır.
Hedef iş parçacıklarını askıya alan ve manipüle eden kötü amaçlı 64 bit kodları yürütmek için paylaşılan bellek ve cennetin kapısını kullanarak yükünü enjekte etmek için explorer.exe’nin alt işlemlerini rastgele seçer.
Kötü amaçlı yazılımlar, Pathping.exe gibi işler, veri toplama için bir gösterge tablosu olarak hareket etmek, Chrome, Firefox ve Outlook gibi çok çeşitli uygulamalardan sistem detayları, tarayıcı kimlik bilgileri, çerez, otomatik doldurma verileri ve pano içeriği gibi hassas bilgileri hasat etmek için işler.
Windows ortamları için koruyucu önlemler
Komut ve kontrol (C2) sunucusu ile iletişim, ayrı bir soket işlemi ile kolaylaştırılır ve HTTP GET aracılığıyla şifrelenmiş verileri aktarır ve 64 gizlenmiş C2 alanından birine gönderir.
FormBook ayrıca, saldırganların dosyaları yürütmesini, ek kötü amaçlı yazılımları temizlemesini, tarayıcı verilerini temizlemesini ve hatta kurbanın cihazını yeniden başlatmasını veya güçlendirmesini sağlayarak tam sistem hakimiyeti potansiyelini gösteren dokuz kontrol komutunu da destekler.
Bu tehdidin ciddiyeti göz önüne alındığında, Windows kullanıcıları ve kuruluşları savunma stratejilerine öncelik vermelidir.
Fortinet’in anti-botnet, web filtreleme, IP’ler ve antivirüs dahil koruyucu hizmetleri, Formbook’un C2 iletişimini ve ilişkili alanları işaretledikleri kötü niyetli olarak bloke etti.
Kullanıcılara güvenlik çözümlerini güncel tutmaları ve ilk enfeksiyon vektörlerini azaltmak için kimlik avı bilincinde eğitim almaları istenir.
Uzlaşma Göstergeleri (IOCS)
| C2 Sunucu URL’leri |
|---|
| hxxp: // www[.]Arwintarim[.]Xyz/shoy/ |
| hxxp: // www[.]terfi[.]XYZ/BPAE/ |
| hxxp: // www[.]218735[.]teklif/3f5o/ |
| hxxp: // www[.]son derece[.]Mağaza/XR41/ |
| hxxp: // www[.]segurooshop[.]Mağaza/WCZ8/ |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!