Gölgelerden sofistike yeni bir arka kapı kötü amaçlı yazılımı ortaya çıktı, 20 aydan fazla bir süre boyunca tespit edilmedi ve ağlara ustaca çift modlu bir aktivasyon sistemi aracılığıyla sızma.
Başlangıçta bir Mirai varyantı olarak maskelenmeyi keşfetti, MyStrodx, gizli kötü amaçlı yazılım tasarımında önemli bir evrimi temsil ediyor ve geleneksel güvenlik önlemlerinden kaçınmak için DNS sorgularını ve ICMP paketlerini gizli iletişim kanalları olarak kullanıyor.
.webp)
Kötü amaçlı yazılım ilk olarak 6 Haziran 2025’te, DST86.bin adlı bir ELF dosyasının dağıtılmasıyla 139.84.156.79 IP adresinden şüpheli etkinlik tespit edildiğinde ortaya çıktı.
Geleneksel tarayıcıların Virustotal’da sadece 4/65 algılama oranı ile Mirai olarak sınıflandırmasına rağmen, tehdidin bilinen Mirai suşlarından tamamen farklı olduğu kanıtlandı.
XLAB’ın siber tehdit içgörü ve analiz sistemi analistleri, gelişmiş davranışsal analiz yoluyla bu tehdidin gerçek doğasını belirledi ve eşi görülmemiş gizli yeteneklere sahip karmaşık bir C ++ arka kapısı ortaya koydu.
MyStrodx’i ayıran şey, kötü amaçlı yazılımların ağ bağlantı noktalarına bağlanmadan tamamen uykuda kalabileceği ve standart ağ izleme araçlarına neredeyse görünmez hale getirebileceği pasif operasyonel modudur.
Tehdit, VM algılama dizeleri için tek bayt xor, AES anahtarları ve tetikleme paketleri için özel dönüşüm algoritmaları ve yapılandırma verileri için AES CBC modu kullanan sofistike üç katlı şifreleme stratejisi yoluyla çalışır.
Bu çok katmanlı yaklaşım, kötü amaçlı yazılım bölümleri keşfedilse bile hassas bileşenlerin korunmasını sağlar.
Kötü amaçlı yazılım yapılandırması, 7 Ocak 2024’e kadar uzanan aktivasyon zaman damgalarını ortaya çıkarır ve bu da tehlikeye atılan sistemler arasında kapsamlı konuşlandırmayı gösterir.
.webp)
Vahşi doğada üç aktif komuta ve kontrol sunucusu tanımlanmıştır ve farklı saldırı operasyonları için farklı RSA anahtar çiftlerini kullanan ek keşfedilmemiş kampanyalar olduğunu gösteren kanıtlar tanımlanmıştır.
DNS tabanlı aktivasyon mekanizması
MyStrodX’in en yenilikçi özelliği, görünüşte iyi huylu DNS sorgularını sofistike komut vektörlerine dönüştüren DNS tetiklenen aktivasyon sisteminde yatmaktadır.
Kötü amaçlı yazılım, ham soketleri kullanarak gelen ağ trafiğini izler, belirli biçimi izleyen DNS isteklerini analiz eder: www.domainname.com, burada alan adının kodlanmış aktivasyon talimatlarını içermektedir.
Etkinleştirme işlemi, kötü amaçlı yazılım özel olarak hazırlanmış bir alan içeren bir DNS sorgusuyla karşılaştığında başlar.
Örneğin, “www.ubw98kzoqyrposgk5+viiskmpc6ubi7vao = .com” gibi bir alan tetik mekanizması görevi görür.
Kodlanmış kısım, aktivasyon yükünü içeren 32 baytlı bir şifreleme metnine üreterek Base64 kod çözme işlemine uğrar.
.webp)
Önceden tanımlanmış sihirli değerlere sahip tescilli bir dönüşüm algoritması kullanarak (0x0d ve 0xaa) kötü amaçlı yazılım, sihirli tanımlayıcı “CAT”, protokol spesifikasyonu (TCP/HTTP), hedef bağlantı noktası numarası ve komut ve kontrol sunucusu ip adresi dahil kritik operasyonel parametreleri ortaya çıkarmak için bu yükü şifresini çözer.
# Transform algorithm implementation
def transform(magic, magic2, buf, key):
buf_len = len(buf) - 1
key_len = len(key)
key1 = magic ^ calc_sum(key)
key2 = (key[(key1^buf_len)%key_len]) ^ magic2 ^ buf_len
out = bytearray()
for i, value in enumerate(buf):
out.append((key[(i^key1)%key_len] ^ key2 ^ value ^ i) & 0xff)
return outBaşarılı bir şekilde etkinleştirildikten sonra, MyStrodx, belirtilen komut ve kontrol altyapısı ile iletişim kurar ve pasif gözetim durumundan dosya yönetimi, ters kabuk işlemleri, çorap proxy işlevselliği ve bağlantı noktası yönlendirme özelliklerine geçiş yaparak geçiş yapar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.