Backdoor.win32.Buterat olarak bilinen gelişmiş bir arka kapı kötü amaçlı yazılımı, işletme ağları için önemli bir tehdit olarak ortaya çıkmış ve saldırganların tehlikeye girmiş sistemlere uzun vadeli yetkisiz erişimi sürdürmesini sağlayan gelişmiş kalıcılık teknikleri ve gizli yetenekleri göstermiştir.
Kötü amaçlı yazılım, dikkatle düzenlenmiş kimlik avı kampanyaları, kötü amaçlı e -posta ekleri ve truva atı yazılım indirmeleri yoluyla hükümeti ve kurumsal ortamları hedefleyen tanımlanmıştır.
Acil hasar veya veri çıkarmaya odaklanan geleneksel kötü amaçlı yazılımların aksine, Buterat uzun ömür ve gizli işlemlere öncelik verir.
Arka kapı, uzaktan komut ve kontrol sunucuları ile şifreli iletişim kanalları oluşturur, tehdit aktörlerinin keyfi komutlar yürütmesine, ek yükler dağıtmasına ve geleneksel algılama mekanizmalarından kaçarken ağ altyapısı boyunca yanal olarak hareket etmesine izin verir.
Point Wild Researchers, kötü amaçlı yazılım örneğini SHA-256 Hash F50EC4CF0D0472A3E40FF8B9D713FB0995E6F1789CDAB ile tanımladı ve Borland Delphi ve sofistike engelleme teknikleri kullanılarak derlemesini ortaya çıkardı.
.webp)
Kötü amaçlı yazılım, meşru sistem görevleri altındaki süreçlerini gizler ve sistem yeniden başlatmalarında kalıcılık elde etmek için kayıt defteri anahtarlarını değiştirir.
Gelişmiş iplik manipülasyonu ve enjeksiyon teknikleri
Buterat, tipik arka kapı uygulamalarından ayıran sofistike iplik manipülasyon yöntemleri kullanır.
Kötü amaçlı yazılım, yeni işlemler oluşturmadan veya giriş noktalarını değiştirmeden iş parçacığı yürütme üzerinde kesin kontrol elde etmek için, özellikle SetThreadContext ve yeniden yayınlanan API çağrılarından yararlanır.
Bu teknik, arka kapının mevcut iş parçacıklarını sorunsuz bir şekilde ele geçirmesini sağlar ve bu da algılamayı davranışsal analiz sistemleri için önemli ölçüde daha zorlaştırır.
SetThreadContext API, saldırganlara iş parçacığı durumları üzerinde ayrıntılı kontrol sağlar ve işlem oluşturma uyarılarını tetiklemeden meşru süreçlere kötü amaçlı kod enjekte etmelerini sağlar.
İş parçacığı bağlam değişikliğini takiben, kötü amaçlı yazılım, değiştirilmiş yürütme akışlarıyla uzlaşmış iş parçacıklarını etkinleştirmek için yeniden yazma kullanır.
Bu yaklaşım, kurumsal ortamlarda yaygın olarak konuşlandırılan hafif davranışsal algılama sistemlerini atlayan sofistike bir kaçırma mekanizmasını temsil etmektedir.
Enfeksiyon sırasında Buterat, amhost.exe, bmhost.exe, cmhost.exe, dmhost.exe ve lql1gg.exe dahil olmak üzere birden fazla kalıcılık noktası oluşturan birden fazla yürütülebilir dosyayı bırakır.
Kötü amaçlı yazılım, http://ginomp3.mooo.com/ adresindeki komut ve denetim sunucusuyla iletişime geçerek veri açığa çıkma ve ek yük dağıtım için uzaktan kumanda özelliklerini etkinleştirir.
Güvenlik ekipleri, bu özel uzlaşma göstergelerini izlemeli ve bilinen kötü niyetli altyapı ile iletişimi önlemek için ağ düzeyinde engelleme uygulamalıdır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.