Ahnlab Güvenlik İstihbarat Merkezi’ndeki (ASEC) güvenlik araştırmacıları, meşru kavanoz imzalama aracından yararlanan yeni bir kampanya ortaya çıkardılar, jarsigner.exeXloader kötü amaçlı yazılımlarını dağıtmak için.
Saldırı, meşru uygulama çalıştırıldığında yürütülmelerini sağlamak için kötü niyetli DLL dosyalarının yanına kötü niyetli DLL dosyalarının yerleştirildiği bir DLL yan yükleme tekniği kullanır.
Bu yöntem, güvenlik savunmalarını atlamak için meşru yazılımla ilişkili güveni kullanır.
Kötü niyetli DLL Yan Yükleme Tekniği Tanımlandı
Eclipse Foundation’ın Entegre Geliştirme Ortamı (IDE) paketinin bir bileşeni olan Jarsigner Tool, genellikle Java Arşivi (JAR) dosyalarını imzalamak için kullanılır.
Bununla birlikte, bu saldırıda, sıkıştırılmış bir arşivde kötü amaçlı dosyalarla bir araya getirilerek silahlandırıldı.
Arşiv üç temel bileşen içerir: Belgeler2012.exeve iki kötü niyetli DLL Jli.dll Ve bett140e.dll.
Saldırı Anatomisi
Kötü niyetli Jli.dll saldırının birincil sağlayıcısı olarak hizmet eder.
Farklı dışa aktarma işlevleri içeren meşru muadilinin aksine, bu kurcalanmış sürüm, tüm dışa aktarma işlevlerini tek bir adresle eşler ve herhangi bir işlev çağrısının saldırganın kodunu tetiklemesini sağlar.
Bu DLL, ikinci kötü amaçlı dosyayı şifresini çözer ve enjekte eder, bett140e.dllmeşru bir sürece (aspnet_wp.exe), Xloader kötü amaçlı yazılımlarının etkin bir şekilde dağıtılması.
Xloader, tarayıcı kimlik bilgileri ve sistem bilgileri gibi hassas verileri dışarı atabilen gelişmiş bir bilgi çalan kötü amaçlı yazılımdır.
ASEC’e göre, tehdit potansiyelini artırarak ek yükler indirebilir.
Bu kampanyadaki kötü amaçlı dosyalar, Eclipse Vakfı tarafından imzalanan meşru bileşenlerin aksine, yakın inceleme üzerine tanımlanabilir olmasını sağlayan geçerli dijital imzalardan yoksundur.
Bu saldırı, tehdit aktörlerinin kötü amaçlı kod yürütmek için meşru yazılıma olan güvenini kullandığı DLL yan yüklemenin tehlikelerini vurgulamaktadır.
Saldırganlar, bu dosyaları sıkıştırılmış arşivlerde bir araya getirerek, kullanıcıları şüphe olmadan yürütmeye yönlendirmeyi amaçlıyor.
Bu tür tehditleri azaltmak için kullanıcılar ve kuruluşlar aşağıdakilere tavsiye edilir:
- Doğrulanmamış kaynaklardan DLL’lerle birlikte yapılan yürütülebilir dosyaları işlerken dikkatli olun.
- İmzasız veya şüpheli DLL’leri tespit etmek için uç nokta koruma araçlarını düzenli olarak güncelleyin.
- Kurcalanmış bileşenleri gösterebilecek güvenilir uygulamalarda anormal davranışları izleyin.
Bu kampanyayla ilişkili MD5 karma (42F5B18D194314F43AF6A31D05E96F16 Ve 8E6763E7922215556fa10711e1328e08) ve şüpheli URL’ler (örneğin, HTTP[:]// www[.]dataSUSH[.]Hayat/UHTG/) güvenlik sistemlerinde aktif olarak engellenmelidir.
Saldırganlar tekniklerini geliştirmeye devam ettikçe, proaktif önlemler sistemleri Xloader gibi sofistike tehditlere karşı korumak için kritik öneme sahiptir.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun