Horus Protector şifreleyici, AgentTesla, Remcos, Snake, NjRat ve diğerleri de dahil olmak üzere çeşitli kötü amaçlı yazılım ailelerini dağıtmak için kullanılıyor ve bunlar öncelikle kodlanmış VBS komut dosyaları olan VBE komut dosyalarını içeren arşiv dosyaları aracılığıyla yayılıyor.
Bu yeni dağıtım yöntemi, şifreleyicinin kullandığı şaşırtma teknikleri nedeniyle tespit ve önlemeyi daha zorlu hale getirdiğinden, bu komut dosyaları yürütüldükten sonra kötü amaçlı yükün kodunu çözer ve yürütür.
VBE betiği, kodlanmış dosyaları uzak bir sunucudan indirir ve bunları, yürütülebilir dosyaları ve kötü amaçlı etkinliklere yönelik talimatları içeren belirli bir kayıt defteri konumunda saklar.
HTTP isteklerini kullanarak dosyaları sunucudan alır ve bunları kayıt defterinin alt anahtarlarında saklar.
Kayıt defteri yolu, komut dosyası içindeki bir SystemPath değişkeni tarafından tanımlanır; bu değişken, muhtemelen kötü amaçlı kod yürütmek veya virüslü sistemde başka zararlı eylemler gerçekleştirmek için kullanılır.
Saldırı, mevcut ana kayıt defteri altında yeni bir kayıt defteri anahtarı oluşturur, ana yükü onaltılık segmentlere böler ve bunları segment1, segment2 vb. gibi alt anahtarlarda depolar; bazı örnekler ise alt anahtar adları için data1, data2 vb. kullanır.
Bunu takiben, kullanıcının AppData\Roaming klasöründe, önceki kayıt defteri anahtarında bulunan komut dosyasıyla aynı adı paylaşan bir VBS komut dosyası oluşturulur; bu, VBS komut dosyasının kötü amaçlı yükü yeniden yürütmek için kullanılabileceğinden potansiyel bir kalıcılık mekanizması olduğunu gösterir. veya başka kötü niyetli eylemler gerçekleştirmek.
Sonicwall raporuna göre, saldırgan kötü amaçlı verileri uzaktaki bir sunucudan indiriyor ve bunu bir VBS betiği olarak kaydediyor ve bu daha sonra Görev Zamanlayıcı’yı kullanarak her dakika çalışacak şekilde programlanıyor.
Çalıştırmadan önce komut dosyası, Güvenlik Merkezi’ni sorgulayarak Windows Defender’ın etkin olup olmadığını kontrol eder. Etkin bulunursa, komut dosyası sonlandırılarak algılanması ve yürütülmesi engellenir.
VBS betiği, Windows Defender’ın etkin olup olmadığını kontrol eder. Öyleyse, Elfetah.exe yükleyicisini belirli parametrelerle çalıştırmak için bir PowerShell komutunu çalıştırır. Defender etkinleştirilmemişse komut dosyası, yükleyici dosyasının kodunu çözmek ve yürütmek için doğrudan PowerShell komutunu çalıştırır.
Yükleyici dosyasının yolu kayıt defterinde depolanır ve komut dosyası, PowerShell komutunu çalıştırmadan önce MSBuild.exe işleminin çalışmamasını sağlar.
It retrieves reversed base64 data from the registry key [HKCU:\Software\uOITNhlpKJsMLJx\s], used to execute the module Elfetah.exe, which loads and executes the next injector file stored in the registry key [HKCU:\Software\uOITNhlpKJsMLJx\r].
“uOITNhlpKJsMLJx” kayıt defteri anahtarı yolu, verileri alan, tersine çeviren, hex’ten ASCII’ye dönüştüren ve ham ikili dosyayı oluşturan Elfetah.exe’ye parametre olarak iletilir; bu sırada yeni derleme daha sonra “r” çağrılarak yüklenir. Yeni yüklenen DotNet DLL’den “erezake.dll” yöntemi.
Kötü amaçlı enjektör erezake.dll, kayıt defterinde belirtilen ve kayıt defterinde depolanan yükün bölümlerini ayıklayıp birleştiren ve bunları bir PE dosyasına tersine çeviren bir işlem olan MSBuild.exe’yi hedefler.
Görüntü oyma kullanılarak yük, MSBuild.exe’ye enjekte edilir; burada kötü amaçlı yazılım, muhtemelen Horus Crypter hizmeti tarafından sağlanan bir BotKill seçeneğini belirten bir kayıt defteri değerini kontrol eder.
Varsa, enjekte edilen yük, tuş vuruşları, ekran görüntüleri, pano içeriği ve uygulama verileri gibi hassas verileri çalmasıyla bilinen SNAKE Keylogger olduğundan, zamanlanmış görevler de dahil olmak üzere tüm kötü amaçlı yazılım kalıcılığını ortadan kaldırır.
IOC’ler:
- c39a2e4fbcce649cb5ac409d4a2e1b1f
- f0fe04a3509d812ade63145fd37a1cb2
- 8acccb571108132e1bbe7c4c60613f59
- 405377b1469f31ff535a8b133360767d
- fd4302cdfacbc18e723806fde074625b
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)