[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.
Bu blog, Arjun Patel ile ortaklaşa yazılmıştır.
GuLoader, öncelikle diğer kabuk kodlarını ve fidye yazılımı ve bankacılık Truva Atları gibi kötü amaçlı yazılımları dağıtmak için kullanılan bir kötü amaçlı yazılım indiricisidir. İlk olarak 2019’un sonlarında vahşi doğada keşfedildi ve o zamandan beri etkinliği ve kullanım kolaylığı nedeniyle siber suçlular arasında popüler bir seçim haline geldi. Siber güvenlik firması CrowdStrike’daki araştırmacılar, yakın zamanda GuLoader tarafından tespit edilmekten kaçınmak için kullanılan çeşitli tekniklerin ayrıntılarını veren bir yayın yayınladılar.
GuLoader’ın en önemli özelliklerinden biri, geleneksel güvenlik çözümleri tarafından tespit edilmekten kaçınma yeteneğidir. Tespit edilmekten kaçınmak için paketleme ve şifrelemenin yanı sıra meşru web sitelerini ve hizmetleri komuta ve kontrol (C2) sunucuları olarak kullanma dahil olmak üzere çeşitli teknikler kullanır. Ayrıca, güvenlik araştırmacılarının tersine mühendislik yapmasını ve kodunu analiz etmesini zorlaştıran gelişmiş hata ayıklama ve analiz önleme teknikleri kullanır.
GuLoader genellikle kurbanların e-postalar veya bir Visual Basic betik dosyası içeren bağlantılar yoluyla kötü amaçlı yazılımı indirmeleri ve yüklemeleri için kandırıldığı kimlik avı kampanyalarıyla yayılır. Ayrıca, kötü amaçlı yazılımın, kurbanın bilgisi olmadan bir web tarayıcısı aracılığıyla kurbanın bilgisayarına teslim edildiği, arabadan indirme gibi başka yollarla da dağıtılabilir.
GuLoader, son yükü virüslü ana bilgisayara teslim etmek için üç aşamalı bir süreç kullanır. İlk aşamada, VBScript damlalık dosyası bir kalıcılık mekanizması olarak bir kayıt defteri anahtarına indirilir ve sonraki aşamada bir yük sunar. İkinci aşama yükü, belleğe kabuk kodu enjekte etmeden önce analiz karşıtı kontroller gerçekleştirir.
Bu kontroller başarılı olursa, kabuk kodu uzak bir sunucudan son yükü indirir ve güvenliği ihlal edilmiş ana bilgisayarda yürütür. Kabuk kodu, uzaktan hata ayıklayıcı ve kesme noktalarının varlığına yönelik kontroller, sanallaştırma yazılımı için taramalar ve çözümler tarafından uygulanan NTDLL.dll kancalarını önlemek için bir “yedek kod enjeksiyon mekanizması” kullanımı dahil olmak üzere çeşitli analiz önleme ve hata ayıklama önleme önlemleri içerir. .
*şifreli nihai yük
kötü amaçlı yazılımdan koruma motorları tarafından, tehdit aktörleri tarafından kötüye kullanıldığı bilinen API’leri izleyerek Windows’taki şüpheli işlemleri algılamak ve işaretlemek için kullanılan bir tekniktir. Yöntem, gerekli Windows API işlevini çağırmak için derleme talimatlarını kullanarak bellek ayırmayı ve işlem boşaltma yoluyla bu konuma isteğe bağlı kabuk kodunu enjekte etmeyi içerir. GuLoader’ın “yedek kod yerleştirme mekanizması”, bu NTDLL.dll kancalarından kaçınmak için tasarlanmıştır ve EDR çözümlerinin kötü amaçlı yazılımı algılamasını ve işaretlemesini zorlaştırır.
GuLoader’ın tespit edilmekten kurtulma yollarından biri, yasal web sitelerini ve C2 sunucuları gibi hizmetleri kullanmasıdır. Bu, komuta ve kontrol (C2) merkezi ile iletişim aracı olarak kötü amaçlı olduğu bilinmeyen web sitelerini kullandığı anlamına gelir. Bu, genellikle kötü amaçlı olarak işaretlenmedikleri için güvenlik araştırmacılarının kötü amaçlı yazılım tarafından kullanılan C2 sunucularını tanımlamasını zorlaştırabilir.
GuLoader, gelişmiş kaçırma tekniklerine ek olarak, siber suçluların kötü amaçlı yazılımları kendi özel ihtiyaçlarına göre uyarlamalarına olanak tanıyan son derece özelleştirilebilir. Buna, kötü amaçlı yazılımın görünümünü, davranışını ve işlevselliğini değiştirme yeteneği de dahildir.
Ayrıca, GuLoader’ın kötü amaçlı yazılımı Base64 kodlu bir VBScript damlalığı aracılığıyla bırakmak için JavaScript kötü amaçlı yazılım türü RATDispenser kullandığı da gözlemlenmiştir. Bu, kötü amaçlı yazılımın güvenlik önlemlerini atlamasına ve virüs bulaşmış sistemlere erişmesine olanak tanır.
GuLoader, devlet kurumlarını ve diğer büyük kuruluşları hedef alan Ryuk fidye yazılımı saldırısı da dahil olmak üzere yüksek profilli saldırılarda kullanıldı. Sağlık kuruluşlarına yönelik saldırıların yanı sıra bireyleri ve küçük işletmeleri hedef alan saldırılarda da kullanılmıştır.
GuLoader, tespitten kaçabilen ve çok çeşitli kötü amaçlı yükleri dağıtabilen oldukça etkili ve çok yönlü bir kötü amaçlı yazılımdır. Kötü amaçlı yazılım indirici, yürütmenin her adımında anti-analizi kontrol etme konusundaki olağanüstü yeteneği sayesinde, güvenlik kontrollerini sürekli olarak atlayabilir ve bazı güvenlik çözümleri tarafından algılanmaktan kaçınabilir. Tespit edilmeden gizlenebilme özelliği sayesinde ister küçük işletme ister büyük işletme olsun her seviyedeki işletme için önemli bir tehdit oluşturmaktadır.
Kuruluşların sistemlerini ve verilerini bu tür kötü amaçlı yazılımlardan koruma konusunda dikkatli olmaları önemlidir. Bu, kuruluşun altyapısının her katmanında e-posta ve EDR gibi çeşitli güvenlik araçlarının ve en iyi güvenlik uygulamalarının bir kombinasyonunu uygulayarak elde edilebilir.
*GuLoader için IOC
Kaynaklar/Makaleler
Çevre İzleme Hakkında
PerimeterWatch, verileriniz üzerinde size tam kontrol ve yönetim sağlar. İnternet, mobil, dağıtılmış işleme ve diğer teknolojilerdeki değişim oranı tek kelimeyle şaşırtıcı. Ayak uyduramamak köklü bir organizasyonu bile mahvedebilir, ancak bu yeni yetenekleri tamamen etkili güvenlik prosedürleri ve sistemleri olmadan getirmek de aynı derecede yıkıcı olabilir.
PerimeterWatch’ın sunduğu şey, gerçekten güvenli bir BT altyapısıdır. Bu, ister tamamen yönetilen bir BT ve güvenlik işlevi, ister kurum içi çalışanlarınızla ortak yönetim anlamına gelsin, çözümlerinizin iş sorunlarınızı çözmesini sağlamak için gerekli olan güvenlik istihbaratını, teknik uzmanlığı ve uygulama deneyimini sağlıyoruz – sadece yenilerini yaratmadan .
reklam