Gizli Python kötü amaçlı yazılım, Windows verilerini çalmak için uyumsuzluğu kullanır


Windows ana bilgisayarlarından sistem bilgilerini ve kullanıcı verilerini hasat etmek için inşa edilmiş gizli bir Python tabanlı Grabber olan Inf0s3c Stealer.

UPX ile sıkıştırılmış ve PyinStaller aracılığıyla paketlenmiş 64 bit PE dosyası olarak paketlenmiş, yürütülebilir dosyalar, süreçleri numaralandırmak, dizinleri gezmek, bellekleri değiştirmek ve güvenlik ayarlarını yönetmek için bir dizi Windows API işlevini içe aktarır.

Yürütüldükten sonra, yöntemsel olarak ana bilgisayar tanımlayıcıları, CPU ayrıntıları, ağ yapılandırmaları ve ekran görüntülerini yakalar.

Daha sonra kullanıcı klasörlerini (desktop, belgeler, resimler, indirmeler) geçirir, çalınan verileri geçici bir çalışma alanına dönüştürür ve her şeyi şifre korumalı bir RAR arşivine ayırır.

Son olarak, kötü amaçlı yazılım arşivi otomatik olarak saldırgan kontrollü bir anlaşmazlık kanalına ekler. INF0S3C Stealer, ev sahibi keşif, veri toplama, güvenli ambalaj ve otomatik eksfiltrasyon özelliklerini gösterir, bu da onu hedeflenen veri hırsızlığı için güçlü bir araç haline getirir.

Bu analiz, INF0S3C Stealer olarak adlandırılan bir Windows Grabber örneğini diseksiyon. 6.8 MB numune, önce UPX 5.02 ile sıkıştırılmış ve daha sonra Pyinstaller kullanılarak paketlenmiş, gömülü python bayt kodu ve kaynakları gizlemek için paketlenmiş 64 bit taşınabilir bir yürütülebilir.

PESTUDIO.
Pestio.

Araştırmacılar, ambalaj ve çıkarma yoluyla, kötü amaçlı yazılımların dahili bileşenlerini elde ederek, paketleme katmanlarının ayrıntılı bir incelemesini, Windows API çağrılarını ve veri toplama ve gizli eksfiltrasyona odaklanan çalışma zamanı davranışlarını sağladılar.

  • INF0S3C Stealer, sistem bilgilerini, çalıştırma işlemlerini, dizin ağaçlarını ve kaydedilmiş Wi-Fi kimlik bilgilerini toplar.
  • Ekran görüntüleri ve web kamerası görüntüleri yakalar ve aldatıcı hata iletişim kutuları görüntüleyebilir.
  • Kötü amaçlı yazılım, kaydedilen şifreleri, çerezleri, otomatik doldurma girişlerini, tarama geçmişine, kripto cüzdanları, uyumsuzluk jetonlarını ve telgraf oturumlarını hedefler.
  • Kalıcılık ve jeton hasadı için kodu uyumsuzluğa enjekte eder.
  • Kalıcılık Windows Startup klasör kurulumu ve isteğe bağlı bir UAC bypass ile elde edilir.
  • Anti-analiz özellikleri arasında sanal makine kontrolleri ve antivirüs güncelleme sitelerini engelleme yeteneği bulunur.
  • Tamamlandıktan sonra, izleri silmek için kendi kendine düşebilir (“eriyik”).
  • Bir “pompa saplaması” özelliği, basit sezgisel tespitlerden kaçınmak için yürütülebilir boyutu yapay olarak şişirir.

Build.exe’nin statik analizi

Örneğin içe aktarma tablosu, beş kategoride işlevleri listeler:

  • Dosya/Dizin İşlemleri (WriteFile, DeleteFilew, FindFirstFilew) İçerik numaralandırmasını ve manipülasyonunu etkinleştirin.
  • Süreç yönetimi (OpenProcessToken, GetTokeInformation, K32EnumprocessModules) ayrıcalık kontrollerini ve işlem denetimini kolaylaştırır.
  • Sistem kontrolü (GetEnvironmentVariableW, SystemParametersInfow) Ana bilgisayar yapılandırmasını okuma ve değiştirmeye izin verir.
  • Hafıza/Anti-Debug (Virtual Protect, RaiseException, QueryPerFormanceFRequency) Bellek içi kod açma ve zamanlama kontrollerini destekleyin.
  • Güvenlik yönetimi (ConvertStringsecurityDescriptOrtoSecurityDescriptorw) ACL ayarlamalarını etkinleştirin.

UPX ve Pyinstaller ile dolu ikili, kaplamasında Python kütüphanelerini ve komut dosyalarını gizler. Bir Pyinstaller Extractor kullanarak analistler gömülü .Pyc dosyaları ve kaynakları aldı.

Çıkarılan mantık arasında, kaldırma rar.exe Toplanan tüm dosyaların şifre korumalı bir arşivi (varsayılan şifre “blank123”) oluşturmak için kötü amaçlı yazılımların güvenli ambalaj tasarımını onaylar.

Yürütüldüğünde, Build.exe sessizce PowerShell ve CMD komutlarını çalıştırmak için başlatır systeminfogetmacVe tasklistçıktıları metin dosyaları olarak kaydetmek. Ekran görüntülerini PNG görüntüleri olarak yakalar ve dizin içeriğini numaralandırır tree /A /F.

Tüm eserler, A %TEMP% çalışma alanı. Çalışma alanını bir RAR dosyasına arşivledikten sonra, Grabber arşivi yüklemek için “Blank Grabber” adlı bir anlaşmazlık webhook veya botuna bağlanır ve otomatik eksfiltrasyonu tamamlar.

Dış tehdit manzarası

INF0S3C Stealer’ın modüler mimarisi, gizleme rutinleri (Base64 sıkıştırma, çalışma zamanı rekonstrüksiyonu) ve aynı geliştirici tarafından umbral-stealer gibi diğer projelerde görülen otomatik uyumsuzluk tabanlı eksfiltrasyon aynası teknikleri.

Savunma atma, kalıcılığı koruma ve kendi kendini ele geçirme yeteneği, son derece uyarlanabilir Python kötü amaçlı yazılımlara yönelik bir eğilimin altını çiziyor.

Güvenlik ekipleri uç nokta korumasını güçlendirmeli, anormal uyumsuzluk trafiğini işaretlemek için ağ çıkış izlemesini dağıtmalı ve varyant gelişmeleri öngörmek için tehdit istihbarat paylaşımına girmelidir.

INF0S3C Stealer, Python tabanlı bilgi çalıcılarının artan sofistike olmasını örneklendirir. Katmanlı ambalaj, kapsamlı API kullanımı, yapılandırılmış veri toplama, şifreli arşivleme ve uyumsuzluk üzerinde gizli pespiltrasyonu birleştirerek güçlü gizli ve otomasyon elde eder.

Proaktif savunmalar – sürekli izleme, sağlam uç nokta kontrolleri, kullanıcı bilinçlendirme eğitimi ve hızlı tehdit istihbaratının yayılması – önemli veri kayıpları gerçekleşmeden önce ortaya çıkan varyantları tespit etmek ve azaltmak için gereklidir.

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.



Source link