PNG dosyalarının popülaritesi ve internetteki yaygın kullanımı, onları tehdit aktörleri için çekici bir vektör haline getiriyor. Ayrıca PNG dosyalarını da hedef alıyorlar çünkü “steganografi” gibi teknikleri kullanarak kötü amaçlı kodları gizleyebiliyorlar.
Elastik güvenlik laboratuvarı araştırmacıları kısa süre önce GHOSTPULSE kötü amaçlı yazılımının algılamalardan kaçınmak için PNG dosyasının piksel yapısında gizlendiğini keşfetti.
GHOSTPULSE kötü amaçlı yazılım ailesi (“HIJACKLOADER” veya “IDATLOADER” olarak da bilinir), 2023’teki keşfinden bu yana önemli ölçüde gelişti. Başlangıçta, kötü amaçlı yükleri PNG dosyalarının “IDAT parçalarına” gizledi.
Ancak en son sürüm, “yapılandırmasını” ve “yükünü” doğrudan görüntü piksellerinin içine yerleştirerek daha karmaşık bir teknik kullanıyor.
Join ANY.RUN's FREE webinar on How to Improve Threat Investigations on Oct 23 - Register Here
Bu yeni yöntem, Windows “GDI+ kitaplık API’leri” kullanılarak “sıralı” olarak çıkarılan her pikselin “KIRMIZI”, “YEŞİL” ve “MAVİ” (‘RGB’) değerlerini kullanır.
Kötü amaçlı yazılım bu değerlerden bir “bayt dizisi” oluşturur ve “şifreli yapılandırmasını” içeren belirli bir yapıyı arar.
Bunu “16 baytlık blokları” analiz ederek yapar ve burada ilk 4 bayt bir “CRC32 karmasını” temsil eder, sonraki “12 bayt” ise karma oluşturulacak verileri içerir.
Bir eşleşme bulduktan sonra, “GHOSTPULSE” şifrelenmiş konfigürasyon için “ofset”i, “boyutu” ve “4 baytlık XOR anahtarını” çıkarır ve ardından şifresini çözer.
Bu piksel tabanlı algoritma, kötü amaçlı yazılımın tespitten kaçma yeteneğini artırarak önceki “IDAT yığını” tekniğinden önemli bir ayrılığa işaret ediyor.
Son kampanyalar, GHOSTPULSE’ı daha önceki “çoklu dosya yaklaşımı” yerine, kaynaklar bölümünde gömülü bir PNG dosyasıyla birlikte “güvenliği ihlal edilmiş tek bir yürütülebilir dosya” olarak paketleyerek GHOSTPULSE’ın dağıtımını kolaylaştırdı. GHOSTPULSE kötü amaçlı yazılım ailesi, keşfinden bu yana önemli bir evrim geçirdi.
Buna yanıt olarak, Elastic güvenlik laboratuvarlarındaki araştırmacılar, GHOSTPULSE’un hem “orijinal” hem de “güncellenmiş” sürümlerini desteklemek için “yapılandırma çıkarma aracını” geliştirdiler.
Bu özel araç, kötü amaçlı yazılımın gömülü kötü amaçlı yükü “gizlemek” ve “çıkarmak” için kullandığı “PNG resim dosyalarını” analiz eder.
Tespit için, Elastic Defend’e entegre edilen orijinal YARA kuralı, enfeksiyonun ilk aşamasına karşı etkili olmaya devam ediyor. Bunun yanı sıra araştırmacılar, “güncellenmiş GHOSTPULSE varyantını” tanımlamak için “yeni YARA kuralları” geliştirdiler.
Güncellenen konfigürasyon çıkarıcı, araştırmacıların bu karmaşık tehdidi “daha iyi anlamalarını” ve “bu karmaşık tehditle mücadele etmelerini” sağlar.
Araç, her iki “GHOSTPULSE” sürümünün analizini destekleyerek, kötü amaçlı yazılımın gelişen taktiklerine ilişkin “önemli bilgiler” sağlar.
Analistler “giderek yenilikçi saldırı yöntemlerinin” önünde kalmaya çalışırken, bu gelişme siber güvenlikte sürekli adaptasyonun önemini vurgulamaktadır.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here