Bilgisayar korsanları, kötü amaçlı kodlarını gizlemek için derlenmiş V8 JavaScript’i kullanırlar; çünkü derlenmiş bayt kodu, kötü amaçlı yazılımın orijinal kaynak kodunu ve amaçlarını etkili bir şekilde gizler.
Son zamanlarda Check Point Research, kötü amaçlı yazılım yazarlarının derlenmiş V8 JavaScript’i nasıl kullandığını araştırdı.
Bu teknik, JavaScript’i düşük seviyeli bayt koduna derleme işlemidir ve tehdit aktörlerinin fark edilmeden hareket etmelerine ve kaynak kodlarını gizlemelerine yardımcı olur.
Siber güvenlik araştırmacıları, V8 bayt kodunu çözmek için View8 adı verilen özel bir araç kullanarak Uzaktan Erişim Truva Atları (RAT’ler), hırsızlar, madenciler ve fidye yazılımları da dahil olmak üzere binlerce kötü amaçlı uygulamayı analiz etti.
Gerçek saldırılarda kullanılmasına rağmen, insanların derlenmiş V8’i nadiren incelemesi nedeniyle düşük tespit oranlarına sahip az sayıda örnek bulundu.
Ücretsiz web seminerimize katılarak şu konularda bilgi edinin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.
V8 JavaScript’i kullanma Kötü Amaçlı Yazılım Saldırısı için
Bilgisayar korsanları, kötü amaçlı kodları gizlemek ve tespit edilmekten kaçınmak için derlenmiş V8 JavaScript’i kullanır.
Araştırma, View8 gibi bir dizi aracın, düşük tespit oranlarına sahip farklı kötü amaçlı yazılım türlerini açığa çıkaran çok sayıda kötü amaçlı V8 bayt kodu örneğini ayrıştırmak için kullanılabileceğini göstermiştir.
Şifrelenmiş V8 bayt kodu yüklerini kullanan ChromeLoader ve dosyalar için AES şifrelemesini kullanan bazı fidye yazılımı türleri bunlara örnektir.
Bu nedenle siber güvenlikteki en büyük endişelerden biri, saldırganların niyetlerini gizleyebilmelerine ve geleneksel güvenlik mekanizmalarını alt edebilmelerine olanak sağlamasıdır.
Bu tehditlerin VirusTotal’da sıklıkla düşük tespit oranlarına sahip olması, V8 bayt kodunun etkinliğini ortaya koyuyor.
Yakın zamanda keşfedilen bir kötü amaçlı yazılım, uzak bir komut ve kontrol sunucusundan x64 dinamik kabuk kodlarını alabilen ve çalıştırabilen gelişmiş bir kabuk kodu yükleyicisi olarak çalışmayı başardı.
ffi-napi ve ref-napi modüllerini kullanarak sadece JavaScript kullanarak dinamik kütüphaneleri yüklemek ve çağırmak mümkündür.
Sistem belleğine yüklediği kabuk kodunu almak için C&C sunucusuyla konuşur ve ardından Windows API işlevleri aracılığıyla çalıştırır.
Kötü amaçlı yazılımın analizi, GitHub’daki ‘node-shellcode’ adlı depoyla bazı benzerlikler ortaya koydu; bu da yazarların bu açık kaynaklı projeden etkilenmiş veya uyarlamış olabileceklerini gösteriyor.
Tehdit aktörleri, yaygın kabul görmüş ve gelişmiş tasarımlı yapısı sayesinde tespit edilemeyen gelişmiş kötü amaçlı yazılımlar oluşturmak için giderek daha fazla V8 teknolojisini kullanıyor.
Burada güvenlik analistleri, kötü amaçlı yazılımlarda V8 derlenmiş kodun kullanımını örneklendirdiler ve ChromeLoader’ın yüksek düzeyde teknik bilgiye sahip olmanın bir örneği olduğunu vurguladılar.
Araştırmacılar, V8 tabanlı kötü amaçlı yazılımların analizini kolaylaştıran, V8 derlenmiş kodlar için yeni bir yorumlayıcı olan View8’i sunuyor.
Siber güvenlik topluluğu, daha önce bilinmeyen V8 kötü amaçlı yazılım çeşitlerinin keşfedilmesine yol açabilecek, gelişen tehditlere karşı tespit ve azaltma stratejilerini güçlendirmek için View8 gibi içgörüler ve araçlar geliştirecek.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo