Hala yaygın olarak dağıtılmasa da, stilachirat olarak adlandırılan yeni bir Windows uzaktan erişim Truva atı (sıçan) ciddi bir tehdittir.
“[The malware] Tespitten kaçınmak, hedef ortamda devam etmek ve hassas verileri yaymak için sofistike teknikler sergiliyor. ”Microsoft tehdit analistleri Pazartesi günü uyardı.
Stilachirat
Stilachirat’ın yetenekleri şunları içerir:
- Hedef sistemin bir resmini boyamaya yardımcı olan bilgi toplanması: OS/Sistem Bilgileri, Donanım Tanımlayıcıları, BIOS Seri Numarası, Kamera Varlığı, Aktif Uzak Desktop Protokolü (RDP) Oturumları, Yazılım Kurulum Kayıtları ve Aktif GUI Uygulamaları
- Bilgi/Kimlik Bilgisi Hırsızlığı: Stilachirat, krom tarayıcıda depolanan kimlik bilgilerini alabilir, sistemin panosundan okuyabilir ve BT’den veri çıkarabilir (şifreler, kripto para tuşları ve potansiyel olarak kişisel tanımlayıcılar) ve Google Chrome tarayıcısı için 20 kripto para birimi cüzdan uzantısının hedef konfigürasyon verilerinin (Coinbase cüzdanı, metamask ve tronlink dahil).
- RDP İzleme: Tehdit analistleri, “Stilachirat, ön plan pencere bilgilerini yakalayarak ve güvenlik belirteçlerini kullanıcıları taklit etmek için güvenlik belirteçlerini çoğaltarak RDP oturumlarını izliyor.
- Komut ve Kontrol (C2) sunucusundan alınan komutları başlatma: Kötü amaçlı yazılım, sistemi yeniden başlatabilir/askıya alabilir, günlükleri temizleyebilir, uygulamaları yürütebilir ve hangilerinin açık olduğunu kontrol edebilir, Windows kayıt defteri değerlerini değiştirebilir, sistem pencerelerini değiştirebilir, yeni giden bağlantılar oluşturabilir ve kendini kaldırabilir.
Stilachirat, yapılandırılmış iki adres aracılığıyla C2 sunucusuna ulaşır, ancak yüklendikten sadece iki saat sonra ve yalnızca TCPView çalışmıyorsa. (TCPView, beklenmedik giden bağlantıları tespit etmeye yardımcı olabilecek bir ağ izleme aracıdır ve bir araştırmacıya veya analiste ait sisteme işaret edebilir.)
Kötü amaçlı yazılım tarafından kullanılan ek anti-forensik önlemler şunlardır: güvenlik günlüklerinin temizlenmesi, analiz araçlarının kontrol edilmesi ve bir kum havuzunun varlığı olan Windows API çağrı gizlemesi (manuel analizi engellemek için). Son olarak, kötü amaçlı yazılımların hedeflenen bilgisayarlarda kalıcılığını sağlama yolları da vardır.
Azaltma ve tespit
Analistler, “Microsoft henüz Stilachirat’ı belirli bir tehdit oyuncusuna veya coğrafi konumuna atfetmedi. Microsoft’un mevcut görünürlüğüne dayanarak, kötü amaçlı yazılım şu anda yaygın bir dağıtım sergilemiyor” dedi.
Ayrıca, kötü amaçlı yazılımların hedeflere nasıl dağıtıldığını da bilmiyorlar, bu nedenle kötü amaçlı yazılımları indirmek ve çalıştırmaktan nasıl kaçınacağınıza dair genel tavsiye burada geçerlidir.
Microsoft, tehdit avcılarının kötü amaçlı yazılımların varlığını kontrol etmesine yardımcı olabilecek uzlaşma ve av sorgularının göstergelerini paylaştı: şüpheli giden ağ bağlantıları, kalıcılık belirtileri, anti-forensik davranış.