ANY.RUN’dan güvenlik araştırmacıları tanımlanmış Hijack Loader kötü amaçlı yazılımının artık güncellenmiş kaçırma önleme tekniklerine sahip yeni bir sürümü. Bu gelişme, kötü amaçlı yazılımın tespit edilmekten kaçınma ve gizli operasyonlarını geliştirme becerisinde önemli bir gelişmeye işaret ediyor.
IDAT Loader olarak da bilinen Hijack Loader, ilk olarak Eylül 2023’te ortaya çıktı ve o zamandan beri önemli bir ilgi gördü. Şu anda, herkese açık sanal alan gönderimlerine göre ANY.RUN Trends Tracker’da en çok tespit edilen altıncı kötü amaçlı yazılım arasında yer alıyor.
Hijack Loader’ın en son yinelemesi, ikinci aşama yükünü yüklemek için bir PNG görüntüsünün şifresini çözer ve ayrıştırır. Bu ikinci aşama, ana enstrümantasyon modülünü yerleştirmeyi amaçlayan modüler bir mimariye sahiptir.
Start analyzing suspicious files and links right away. Sign up for a free ANY.RUN account now!
Kötü amaçlı yazılım, gizlilik yeteneklerini geliştirmek için çeşitli karmaşık teknikler kullanır:
- Satır İçi API Bağlantısını Önler: Bu yaygın tespit yöntemi artık güvenlik yazılımı tarafından atlanıyor.
- Windows Defender’ın Hariç Tutulması: Kötü amaçlı yazılım, Windows Defender antivirüsüne bir dışlama ekler.
- Kullanıcı Hesabı Denetimi (UAC) Atlaması: UAC’yi başarıyla atlar.
- Proses Boşaltma: Bu teknik, meşru süreçlere kötü amaçlı kod enjekte etmek için kullanılır.
Mart ve Nisan 2024’te güvenlik araştırmacıları bu kötü amaçlı yazılımla ilişkili yedi yeni modül tespit etti.
Tespit ve Analiz
ANY.RUN korumalı alan YARA kurallarını kullanarak Hijack Loader’ı tespit edebilir. Platform, kötü amaçlı yazılımın davranışını gösteren ayrıntılı analiz oturumları sağlar.
Örneğin, bir son analizikinci aşama verisi indirilmedi çünkü Komuta ve kontrol (C2) sunucusu etkin değildi.
Hijack Loader Tarafından Sağlanan Yaygın Yükler:
- Hazır
- Lumma Hırsızı
- Meta Hırsızı
- Rakun Hırsızı V2
- Remcos RAT
- Rhadamanthys
En Son Uzlaşma Göstergeleri (IOC’ler)
Araştırmacılar, Kötü Amaçlı Yazılım Trendleri Takibi’nden Hijack Loader’a yönelik en yeni IOC’leri topladı. Bu yapılar ANY.RUN’daki yeni genel analiz oturumlarıyla dinamik olarak güncellenir.
IP’ler:
- 185.215.113.67
- 193.233.132.139
- 185.172.128.76
Hash’ler:
- 86BCBACD8E9FDE23FF236155EE47F866DD7DD51C6129ED340034810A10705B3
- 0AE58BE8D7058E40926FDB51B76043D109B96B91AA9FA2950DBB8A3626185E0F
- A38DA72082FC2DC1F60B3B245E1F2382D5F8C1D08EBC397DD0D81CC9F74EBBE6
URL’ler:
- mail.zoomfilms-cz[.]iletişim
- tartışmacı[.]İnternet sitesi
- wxt82[.]xyz
ANY.RUN Hakkında
HERHANGİ BİR ÇALIŞMA dünya çapında 400.000’den fazla siber güvenlik uzmanı tarafından kullanılan lider bir etkileşimli sanal alan platformudur. Hem Windows hem de Linux sistemlerini hedef alan tehditlere yönelik kötü amaçlı yazılım analizini basitleştirir. Platformun tehdit istihbaratı TI Lookup, Yara Search ve Feeds gibi ürünler, kullanıcıların IOC’leri veya dosyaları bulmasına, tehditleri daha iyi anlamasına ve olaylara daha verimli yanıt vermesine yardımcı olur.
ANY.RUN’un Avantajları
- Hızlı Tespit: Kötü amaçlı yazılımları, dosya yüklendikten sonra yaklaşık 40 saniye içinde algılar. ÇOCUKLAR ve Suricata kuralları.
- Gerçek Zamanlı Etkileşim: Gerçek bir sistem ortamını simüle ederek kullanıcıların örneklerle gerçek zamanlı etkileşim kurmasına olanak tanır.
- Uygun Maliyetli: Kurulum veya bakım ihtiyacını ortadan kaldırarak zamandan ve paradan tasarruf sağlar.
- Kapsamlı analizler: Ağ trafiği, sistem çağrıları ve dosya sistemi değişiklikleri de dahil olmak üzere kötü amaçlı yazılım davranışlarına ilişkin ayrıntılı bilgiler sağlar.
- Takım İşbirliği: Analiz sonuçlarının kolayca paylaşılmasını kolaylaştırır ve kıdemli analistlerin, kıdemsiz analistlerin çalışmalarını incelemesine olanak tanır.
- Ölçeklenebilirlik: Bulut hizmeti olarak daha fazla lisans ekleyerek kolay ölçeklendirmeye olanak tanır.
Get 6 Months of ANY.RUN Malware Sandbox Paid Plans for Free before May 31st - Register Here