Bu hafta başında bir güvenlik araştırmacısı tarafından tanımlanan yeni bir polimorfik kötü amaçlı yazılım, çoğu güvenlik aracı tarafından tespit edilemiyor.
Xavier Mertens, 8 Ekim’de bir SANS blog yazısında kötü amaçlı yazılım hakkında yazmıştı. O zamanlar VirusTotal’da kötü amaçlı yazılıma ilişkin yalnızca iki tespit vardı. İki gün sonra hala sadece iki tespit var.
Python Üzerine Geliştirilmiş Polimorfik Kötü Amaçlı Yazılım
VirusTotal’a “nirorat.py” olarak yüklenen bir Python uzaktan erişim truva atı (RAT) olan kötü amaçlı yazılım, koddaki bazı işlev adları nedeniyle Mertens’in dikkatini çekti: self_modifying_wrapper(), decrypt_and_execute() ve polymorph_code().
Polimorfik kötü amaçlı yazılımın, her çalıştırıldığında görünümünü veya imza dosyalarını değiştirecek şekilde tasarlandığını söyledi.
“Kodunu anında değiştirebilmek için programın kendi kaynak koduna erişimi olması gerekir” diye yazdı. “Birçok dil bu yeteneğe sahip.”
Python’da, incelemek modülün bu yeteneği ekleyebileceğini ekledi.
Mertens, tespit ettiği kötü amaçlı yazılımda, kritik kodu kendi kendini değiştiren bir katmana sarmak için self_modifying_wrapper() işlevinin “bir işlev kodunu yakalayacağını, rastgele bir anahtarla XOR’layacağını, ardından XOR’u kaldıracağını ve bellekten çalıştıracağını” söyledi.
Kötü amaçlı yazılım ayrıca gelişmiş değişken yeniden adlandırma ve önemsiz kod ekleme yoluyla kodu gizleme yeteneğine de sahiptir. self_modifying_wrapper() ve polymorph_code() işlevleri için kod örnekleri ekledi.
Python RAT Ayrıca 40’tan Fazla Saldırı Yeteneği İçerir
Kötü amaçlı yazılımın ayrıca 40’tan fazla saldırı ve keşif yeteneğine sahip olduğunu ve “Saldırgana birçok özellik sunduğunu” söyledi.
İşlev ve yeteneklerden bazıları arasında ağ ve ana bilgisayar taraması, yönlendirici korsanlığı, varsayılan kimlik bilgilerinin test edilmesi, ekran kaydı, yük teslimi ve yürütülmesi, çalıntı veri iletimi, yanal hareket ve daha fazlası yer alır.
Bot komutları arasında Xworm yükünü dağıtma, bir keylogger çalıştırma ve günlükleri dışa aktarma, kurbanın dosyalarını şifreleme, bir kripto madenci çalıştırma, ekran görüntüleri ve ses yakalama, kabuk komutlarını çalıştırma, kurbanın bilgisayarına dosya yükleme ve bilgisayardan dosya arama ve gönderme seçenekleri yer alıyor.