2023’te gözlemlenen modüler bir kötü amaçlı yazılım yükleyicisi olan HijackLoader, Amadey ve Racoon Stealer gibi sonraki aşama kötü amaçlı yazılımları sunmak için PNG görüntüsü kullanan bir varyant olduğu için yeni kaçınma teknikleriyle gelişiyor.
Varyant, süreç oluşturma, UAC bypass ve anti-hook (Heaven’s Gate) için yeni modüller (modCreateProcess, modUAC) içerir.
Araştırmacılar ayrıca HijackLoader örneklerinden yapılandırma ve modülleri çıkarmak için bir Python betiği oluştururken, tespitten kaçınmak için dinamik API çözünürlüğü ve kara listeye alma özelliğini de kullanıyor.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
İlk aşama, WinHTTP API’lerini bulmak ve belirli bir URL kullanarak internet bağlantısını kontrol etmek için SDBM karma algoritmasını kullanarak PEB’yi geçerek ve PE başlığını ayrıştırarak API’leri dinamik olarak çözer.
Yükleyici daha sonra gömülü kabuk kodunun şifresini çözmek için basit bir ekleme kullanır ve çalıştırmadan önce çalıştırma yetkisini alır.
.webp)
Kötü amaçlı yazılım yükleyicisi HijackLoader, antivirüs yazılımını tanımlamak ve yürütülmesini geciktirmek için engelleme listelerini kullanır. Daha sonra ikinci aşama yükleme için iki yöntem kullanır.
İlki, kötü amaçlı yazılıma yerleştirilmiş önceden tanımlanmış bir değeri kontrol eder ve bunu hesaplanan bir değerle karşılaştırır.
Eşleşirlerse şifrelenmiş modüller içeren gömülü bir PNG kullanılır. Aksi takdirde araştırma, indirilen bir PNG’nin kullanıldığını ve kötü amaçlı yazılımın, modülleri bulmak için PNG’nin IDAT’sini ve sihirli başlıklarını aradığını söyledi.
.webp)
PNG içindeki şifrelenmiş blob’ların şifresi bir anahtar kullanılarak çözülür ve LZNT1 ile sıkıştırması açılır. Son olarak, belirtilen bir DLL yüklenir ve “ti” adlı bir modül bulunur ve çalıştırılmak üzere enjekte edilir.
.webp)
İkinci aşama, UAC bypass, Windows Defender dışlama ve süreç boşaltma gibi işlevleri içeren, daha fazla gizlilik için birden fazla modül kullanarak ana yükü enjekte eder.
İlk modül, ti, API’leri dinamik olarak çözer ve belirli bir muteksi kontrol eder, ardından gerekirse kendisini uygun konuma kopyalar ve kullanıcı modu kancalarını atlamak için Heaven’s Gate’i kullanır.
Bundan sonra, ana enstrümantasyon modülünü, süreç boşaltmayı kullanarak belirlenen bir sürece (örneğin, cmd.exe) enjekte eder, ardından şifreyi çözer ve son veriyi çalıştırır.
.webp)
Zscaler’deki araştırmacılar, dağıtılmış kötü amaçlı yazılımları belirlemek için HijackLoader örneklerini analiz etti. Veri toplama ve daha fazla kötü amaçlı yazılım yükleme kapasitesine sahip bir Truva atı olan Amadey, %52,9 ile en yaygın olanı oldu.
Diğer dağıtılan kötü amaçlı yazılım aileleri arasında parolalar, kripto cüzdanları ve tarayıcı bilgileri gibi çeşitli verileri hedef alan bilgi hırsızları Lumma Stealer, Racoon Stealer v2 ve Meta Stealer yer alıyor. Bir Uzaktan Erişim Truva Atı olan Remcos, arka kapı erişimini etkinleştirdi.
.webp)
Rhadamanthys, cüzdanlar, e-postalar ve mesajlaşma uygulamaları dahil olmak üzere daha geniş bir veri yelpazesini hedefleyen başka bir bilgi hırsızıdır.
Yalnızca Amadey, Lumma Stealer ve Remcos RAT gibi bir dizi tehdidi sunmakla kalmıyor, aynı zamanda Ti modülü olan ikinci aşamasını yüklemek için bir PNG görüntüsünün şifresini çözüyor ve ondan bilgi çıkarıyor.