LevelBlue Labs araştırmacıları, tehdit aktörlerinin kötü amaçlı amaçlar için meşru anti-virüs yazılımlarını ele geçirmek amacıyla kullandıkları yeni bir taktiği ortaya çıkardı.
Bu karmaşık saldırı, adı verilen bir araçtan yararlanıyor Komuta ve kontrol (C&C) sunucusu üzerinden proxy bağlantıları kurmak için meşru bir anti-virüs bileşeni gibi görünen SbaProxy.
SbaProxy, tehdit aktörünün gelişen araç setindeki yeni bir araçtır ve gelir elde etmek için kullanılabilecek proxy bağlantıları kurma yeteneğine sahiptir.
Araç, DLL’ler, EXE’ler ve PowerShell betikleri de dahil olmak üzere çeşitli biçimlerde dağıtıldığından, meşru görünümü ve gelişmiş tasarımı nedeniyle tespit edilmesi zorlaşıyor.
Tehdit aktörleri, iyi huylu yazılım görünümünü korurken kötü amaçlı amaçlara hizmet etmek için meşru anti-virüs ikili dosyalarını değiştiriyorlar.
Bu, kötü amaçlı ikili dosyaların geçerli veya geçerli görünen sertifikalarla imzalanması ve güvenlik kontrollerini atlatması nedeniyle tespiti zorlaştırır. Hedeflenen anti-virüs ürünleri arasında Malwarebytes, BitDefender ve APEX ürünleri bulunur.
Kötü amaçlı ikili dosyalar, tespit edilmekten kaçınmalarına yardımcı olan geçerli veya geçerli görünen sertifikalarla imzalanır. Örneğin, “STERLING LIMITED” için verilen “DCB42EF087633803CD17C0CD6C491D522B8A2A” parmak izine sahip bir sertifika şu anda geçerlidir ve bu kampanyadaki bazı örnekleri imzalamak için kullanılır. Tehdit aktörü, verildiği tarih kampanya zaman çizelgesine uyduğu için muhtemelen faaliyetlerini gerçekleştirmek için bu sertifikayı edinmiştir.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download
Teknik Analiz
LevelBlue Labs, Haziran ayının başlarında görünüşte meşru anti-virüs ikili dosyalarından kaynaklanan şüpheli bir etkinlik gözlemledi. Soruşturma sonucunda, bu etkinliğin Sophos tarafından Nisan ayının sonlarında bildirilen bir kampanyayla ilişkili yeni bir araçla bağlantısı olduğu ortaya çıktı. Bu, bu tehdit aktörü tarafından kullanılan araç setinde yeni bir yinelemeyi işaret ediyor.
BitDefender günlük kaydı DLL’si olarak gizlenen bir örnek analiz edildi. Kötü amaçlı DLL’deki dışa aktarılan işlevler, bir değiştirilmiş işlev olan ‘LogSetMode’ dışında, orijinal DLL’deki işlevlerle aynıydı. Bu işlev, birleştirilmiş XOR şifreli kabuk kodunu şifresini çözen ve yürüten başka bir adrese giden bir jmp talimatıyla değiştirildi.
Yük şifre çözme işlevi, birkaç yerel değişkeni sabit kodlanmış bir değere ayarlayan ve 448.840 kez tekrarlanan anlamsız bir döngü içerir. Bu, emülasyona dayanan algılama yöntemlerini atlatmanın ilkel bir biçimidir.
Döngü tamamlandıktan sonra, kod ayarlanan değişkenlerden birinin değerlerini kontrol eder ve beklenen değer değilse çöker. Kod daha sonra yük için bellek ayırır, sabit kodlanmış çok baytlı bir XOR anahtarı kullanarak şifresini çözer ve yürütür.
C&C sunucusuyla ilk iletişim, sırasıyla 16, 4 ve 0 bayt uzunluğunda ve tamamı sıfır içerikli ‘gönder’ fonksiyonuna yapılan bir dizi çağrıyı içerir.
Bu muhtemelen C&C’nin yalnızca kötü amaçlı istemciye yanıt vermesini sağlamak için sihirli bir dizidir. Bu gönderme kümesini gerçekleştirdikten sonra, C&C’den 16 bayt alır ve bunları yeni bir soket üzerinden sunucuya geri gönderir. Bu yeni bağlantı kümesi, paralel olarak birkaç etkin bağlantıya izin veren yinelemeli bir döngüde gerçekleştirilir.
Bu saldırganlar, geçerli sertifikalar kullanarak ve meşru olanları taklit eden kötü amaçlı ikili dosyalar oluşturarak tespit edilmekten kaçınmak için meşru anti-virüs yazılımlarını ele geçirirler ve tehdit tespitini zorlaştırırlar. Siber suçlular yenilik yaptıkça, kuruluşlar savunmalarında dikkatli ve proaktif olmalıdır.
LevelBlue Labs, bu tehdidi belirlemek ve onunla mücadele etmek için tespit yöntemleri geliştirdi. Bunlar arasında, C&C sunucusuyla belirli iletişim kalıpları konusunda uyarı veren SURICATA IDS imzaları da yer alır. İlgili tehlike göstergeleri (IOC’ler) OTX Pulse’da mevcuttur.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access