Mart 2024'ün başlarında XSS forumunda reklamı yapılan GlorySprout hırsızı, ömür boyu erişime ve geçici yük şifrelemesine sahip, bir yükleyici, CIS karşıtı yürütme ve işlevsel olmayan bir yakalayıcı modül içeren, 300 dolara satılan bir C++ hırsızıdır.
Golang panelli bir C++ hırsızı olan Taurus Stealer, Nisan 2020'de XSS'de satışa çıktı ve şifreleme, bot kimliği formatı, VM karşıtı özellikler ve kod adlandırma kuralları açısından Predator Stealer ile benzerlikler paylaştı.
Anti-VM ve keylogging işlevlerinden bahsediliyor, ancak bunların varlığı doğrulanmadı. Ayrıca hırsız, günlük yedeklemeyi ve belirli ülkeleri veya IP'leri yasaklama yeteneğini de etkinleştirir. Taurus Stealer'ın bir klonu olarak tanındı.
Ayrıca geliştirmenin 2021'de sona erdiği bildirildi, ancak kırık versiyonlar ve muhtemelen sızdırılmış kaynak kodu Telegram'da ortaya çıktı ve bu da potansiyel olarak devam eden dolaşımı açıklıyor.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN'u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux'ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN'u ÜCRETSİZ deneyin
GlorySprout'un Teknik Analizi
Buna göre RusPandaKıdemli Tehdit İstihbaratı araştırmacısı eSentire, GlorySprout, çarpma, toplama ve XOR gibi işlemleri kullanarak ve Shell32.dll ve wininet.dll gibi hedef sistem kitaplıklarını değiştirerek API'leri dinamik olarak çözer.
Bu karma API değerlerine erişmek için belirli uzaklıklar kullanır ve XOR ve aritmetik işlemleri kullanarak belirli dil tanımlayıcılarını kontrol ederek ve dizeleri gizleyerek anti-analiz teknikleri uygular.
Hashing süreci çarpma, toplama, XOR ve kaydırma gibi işlemleri içerir
GlorySprout, %TEMP% klasörüne bırakılan ikincil bir veriyi yürüten “\WindowsDefender\Updater” adlı zamanlanmış bir görev aracılığıyla kalıcılık oluşturur.
Ayrıca, dosya adları ve RC4 anahtarları da dahil olmak üzere çeşitli amaçlar için rastgele dizeler oluşturmak için bir işlev kullanır, ancak bu işlev gerçekten rastgele olmayabilir, oysa iletişim için C2 adresi, paketlenmemiş yükün kaynak bölümünden alınır.
Virüs bulaşmış bir makine, tarayıcı kılığında 80 numaralı bağlantı noktasındaki C2 sunucusuyla iletişim kurar ve şifrelenmiş bir BotID ve önceden tanımlanmış bir kullanıcı aracısıyla bir POST isteği gönderir.
Şifreleme için RC4 anahtarı, sabit bir başlangıç durum değeriyle oluşturulur, bu da her check-in için aynı anahtarın elde edilmesini sağlar ve sunucu, çalınacak verileri (tarayıcı geçmişi, cüzdanlar vb.) ve diğer eylemleri (indirme) ayrıntılandıran şifrelenmiş bir yapılandırmayla yanıt verir. ikincil yük, kendi kendini silme).
Makine verileri toplar, alınan RC4 anahtarıyla şifreler ve sunucuya geri gönderir. Bir başarı mesajı aldıktan sonra, makine işlemin tamamlandığını bildirir ve potansiyel olarak başka bir kötü amaçlı veri indirir.
Golang'da yazılmış bir çalma programı olan GlorySprout, muhtemelen sqlx kütüphanesi aracılığıyla işlenen SQL veritabanlarını kullanıyor ve veritabanının analizi, GlorySprout'un Taurus Stealer kodunun bir klonu olduğunu öne süren “taurus” kelimesinden bahsedildiğini ortaya koyuyor.
Şifresi çözülmüş tarayıcı şifreleri, General/forms.txt dosyasında saklanan günlüklerde bulunur; bu, sunucu tarafı şifre çözme işlemini gösterir.
GlorySprout, ek DLL'ler indirmemesi ve VM karşıtı özelliklere sahip olmaması nedeniyle Taurus Stealer'dan farklıdır; bu da GlorySprout'un diğer hırsızlarla aynı düzeyde popülerliğe ulaşamayabileceğini gösterir.
SOC ve DFIR Ekiplerinden misiniz? – Kötü Amaçlı Yazılım Olaylarını analiz edin ve ANY.RUN ile canlı Erişim elde edin -> Şimdi Ücretsiz Başlayın.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.