Kötü amaçlı zip eki içeren bir kimlik avı e-postası, saldırıyı başlatır. Zip, Soldan Sağa Geçersiz Kılma karakterleri (LTRO) kullanılarak Excel dosyası olarak gizlenmiş tek bir yürütülebilir dosya içerir.
LTRO, dosya adının zararsız bir .xlsx uzantısına sahipmiş gibi görünmesini sağlar (örneğin, RFQ-101432620247flexe.xlsx), ancak aslında yürütülebilir bir dosyadır (.exe).
Simge ve dosya adına aldanan şüphelenmeyen kullanıcılar, Excel elektronik tablosu görünümündeki yürütülebilir dosyayı açarak kötü amaçlı yazılımı başlatır.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Visual Studio 2015 ile derlenen küçük (560 KB) bir yürütülebilir dosya, dizeleri ve gömülü dosyaları gizlemek için büyük ölçüde XOR kodlaması (onaltılık ofset E2) kullanır, statik analizi engeller ve yürütülebilir dosya, VBScript yüklerini ve meşru bir Excel dosyasını düşürür.
.webp)
VBScript yürütmesinin temel kötü amaçlı işlevsellik olduğuna inanılırken, Excel dosyası muhtemelen VBScript’in başarısız olması durumunda kullanıcının şüphelenmesini önlemek için bir tuzak görevi görüyor.
Kötü amaçlı yazılım düşürücü, yükü yürüttü ve gizli yapısı ve yazma izinleri nedeniyle kötü amaçlı yazılımların ortak konumu olan C:\ProgramData dizinine birkaç dosya yazdı.
Bu dosyalar (20240416.xlsx, 3156.vbs, vb.), içeriklerini temel analizden gizlemek için XOR ile kodlanarak verinin içine yerleştirildi.
.webp)
İkili yürütmeden, ProgramData klasörüne oldukça karmaşık bir komut dosyası (3156.vbs) yazan ve onu wscript.exe kullanarak çalıştıran, hataları gizleyen, çalışma dizinini ayarlayan ve ardından dosyayla etkileşim kuracak nesneler oluşturan VBScript aşamasına geçiş. sistem ve kabuk.
Temel işlevsellik, ShellExecute kullanılarak birbirini takip eden iki VBScript’in (i4703.vbs ve i6050.vbs) ve bir yem dosyasının (20240416.xlsx) çalıştırılmasını içerir.
Bu görevlerin tamamlandığından emin olmak için komut dosyası, tüm .vbs ve .jse dosyalarını ProgramData’dan silmeden önce 3000 saniye uyur.
.webp)
Kötü amaçlı VBScript, i4703.vbs, her dakika en yüksek değerle “C:\Programdata\97468.tmp” konumunda bulunan ayrı bir VBScript çalıştıran virüslü sistemde kalıcılık sağlamak için Google Chrome güncellemesi kılığında zamanlanmış bir görev oluşturur. meşru sistem süreçlerini taklit ederek ayrıcalıklar.
Securonix’e göre karartılmış komut dosyası, analizi daha da karmaşık hale getiriyor ancak ek kötü amaçlı veri indirme amacı daha sonra araştırılacak.
.webp)
Analiz edilen kötü amaçlı yazılım, VBScript ve PowerShell kullanarak çok aşamalı bir saldırı kullanıyor.
4. aşamada, her dakika geçici VBScript dosyalarını (97468.tmp ve 68904.tmp) başlatan ek zamanlanmış görevler oluşturan iki VBScript (i6050.vbs ve bir zamanlanmış görev) yürütülür.
Bu geçici VBScript’ler daha sonra yürütme ilkelerini atlamak ve çeşitli karmaşık teknikler kullanarak PowerShell komut dosyalarını (Tmp912.tmp, tmpdbx.ps1, Tmp703.tmp, zz.ps1) çalıştırmak için WScript.Shell’i kullanır.
Saldırgan, kötü amaçlı PowerShell komut dosyalarını her dakika yürütmek için iki grup zamanlanmış görevden yararlanır; ilk grup, Tmp912.tmp ve Tmp703.tmp’yi indirip çalıştıran VBScript’leri çalıştırır.
Tmp912.tmp, bir erişim belirtecini yenileyerek, bir günlük dosyası yükleyerek ve tmpdbx.ps1’i indirerek Dropbox ile etkileşime girer.
.webp)
Tmp703.tmp, bir erişim belirtecini yenileyerek ve zz.ps1’i indirerek Google Drive ile etkileşime girer.
Zamanlanmış görevlerin ikinci kümesi, önceden tanımlanmış kalıplara göre sırasıyla Dropbox ve Google Drive’dan ek dosyalar indiren tmpdbx.ps1 ve zz.ps1’i çalıştırır.
Saldırganlar, sıkıştırılmış bir ikili dosyayı indirmek ve bunu antivirüs ve EDR yazılımı tarafından dosya taramayı atlayan yansımayı kullanarak bellekte yürütmek için bir PowerShell betiği kullandı.
Betik, ikili dosyayı çıkarır (ilk 10 baytı atlayarak), onu bir .NET derlemesi olarak yükler ve saldırganın C2 sunucusuyla önceden tanımlanmış bir IP ve bağlantı noktasında bir ağ bağlantısı kurmak için derleme içindeki “start” yöntemini çağırır.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın