Karmaşık bir JavaScript tabanlı kötü amaçlı yazılım olan GootLoader, benzersiz kaçınma teknikleriyle siber güvenlik uzmanlarına meydan okumaya devam ediyor. Ancak araştırmacılar, Visual Studio Code’da Node.js kodu olarak hata ayıklayarak anti-analiz yöntemlerini aşmanın yeni bir yolunu keşfettiler.
Araştırma, kötü amaçlı yazılımın iç işleyişine dair yeni bilgiler ortaya koydu ve yaygın deneme tabanlı analiz yöntemlerindeki çeşitli kusurları vurguladı.
GootLoader’ın Kaçamak Tekniklerinin Hata Ayıklanması
Kötü amaçlı yazılımlar arasında Wscript.sleep() veya setTimeout() yöntemlerini çağırarak uyku işlemleri gerçekleştirmek yaygın olsa da, çoğu kötü amaçlı yazılım sanal alanı bu ‘kötü amaçlı yazılım uyku’ yöntemlerini kolayca tespit eder. Ancak GootLoader, çoğu sanal alan ortamını kandırabilen daha etkili kaçınma için gelişmiş zaman tabanlı gecikmeler ve döngü yinelemeleri kullanır.
Gootkit ilk olarak 2014’te tanımlanmış olsa da, zaman içinde birçok değişikliğe uğradı. Orijinal Gootkit kötü amaçlı yazılımı bir Windows yürütülebilir dosyasından oluşuyordu, ancak 2020’den beri Gootkit Loader olarak adlandırılan kötü amaçlı yazılımın Javascript tabanlı varyantlarının sahte forum gönderileri kullanılarak dağıtıldığı görüldü.
GootLoader, fidye yazılımı da dahil olmak üzere çeşitli diğer kötü amaçlı yazılım türlerini dağıtmak için kullanılabilir. Bu değişikliklere rağmen, grup 2024’te aynı dağıtım taktiklerini korudu ve forum gönderileri içerik ve görünüm olarak neredeyse aynıydı.
Palto Alto Networks’ten araştırmacılar, bir Windows ana bilgisayarında Visual Studio Code’da Node.js hata ayıklamanın yeni kullanımıyla bir GootLoader kötü amaçlı yazılım örneğini analiz etti. Bu yaklaşım, adım adım kod yürütme ve kesme noktası ayarlama olanağı sağladı ve kötü amaçlı yazılımın akış kontrolü ve yürütme mantığına tipik bağımsız yürütmeden daha fazla içgörü sağladı.
Yapılan analizde, kötü amaçlı yazılımın zaman alıcı while döngüleri ve dizi işlevleri kullanarak kötü amaçlı kodunun yürütülmesini kasıtlı olarak geciktirdiği ve gerçek doğasını gizlemek için kendi oluşturduğu uyku dönemlerini kullandığı ortaya çıktı.
Araştırmacılar, tekrarlamada aynı değere sahip bir değişken sağlayan sonsuz bir döngü işlevi gözlemlediler ve kötü amaçlı yazılımın koduna daha fazla girdiklerinde, ‘horseq7’ işlev dizisi adı keşfettiler. Analiz sonucunda, işlevin analiz ortamında gerekli sayaç değerini elde etmesi 10 dakikadan fazla sürdüğü için kodun bir döngüde takılıp kaldığı görüldü.
Araştırmacının birkaç farklı sayaç değeri ve ilgili işlevi belirlemesiyle, bu işlevin gerçek kötü amaçlı programın yürütülmeye başladığı yer olduğu ortaya çıktı.
Güvenlik Ortamlarında Sandbox Testlerindeki Kusurlar
Sandbox teknikleri, güvenlik araştırmacıları tarafından kötü amaçlı ikili dosyaları, davranışlarını ve kontrollü bir ortamın yararına yürütülmesini belirlemek için yaygın olarak kullanılır. Bu sandbox ortamları, sınırlı kaynaklara karşı büyük miktarda ikili dosyanın geçirilmesi gibi engellerle karşılaşabilir.
GootLoader’ın karmaşık kaçınma teknikleri, özellikle ciddi derecede sınırlı bilgi işlem kaynaklarına ve zaman kısıtlamalı analizlere sahip olan sanal alan ortamları için çeşitli engeller ortaya çıkarır.
Bu tekniklerin anlaşılması, araştırmacıların daha etkili tespit ve analiz yöntemleri geliştirmeleri, örneğin zaman tabanlı kaçınma taktiklerini ele almak için geliştirilmiş deneme ortamları ve bu tür kaçınma işlevlerini potansiyel olarak tespit edebilen daha gelişmiş statik ve dinamik analiz araçlarının geliştirilmesi için hayati öneme sahiptir.