Araştırmacılar, anti-hata ayıklama teknikleri, gizleme ve şifreleme kullanan, düşük antivirüs tespit oranlarına sahip bir dizi şüpheli ELF dosyasını analiz etti ve bu da gelişmiş bir saldırgan olduğunu düşündürdü.
Dosyaların Kiteshield ile paketlenmiş bilinen kötü amaçlı yazılım olduğu ortaya çıktı. Bu paketleyicinin tespitten kaçması çok önemlidir çünkü bu, çeşitli siber suçluların Kiteshield kullandığını ve Kiteshield paketli kötü amaçlı yazılımları tespit etmek için antivirüs motorlarının geliştirilmesi gerektiğini göstermektedir.
Kiteshield Packer, Linux’ta ELF ikili dosyalarını şifreler ve korur ve RC4’ü kullanarak paketlenmiş ikili dosyanın şifresini kullanıcı alanına çözen bir yükleyici enjekte eder.
All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo
Yükleyici, kendisini tanımlamak için ikili dosyada belirli bir imzayı arar ve şifre çözme işlemini gerçekleştirmek için dosya içinde gizli bir anahtar kullanır; bu, yükleyici kodunun kendisiyle XOR yapılarak karartılır ve yetkisiz şifre çözmeyi zorlaştırır.
Yalnızca şu anda çağrı yığınında bulunan işlevlerin şifresi çalışma zamanında ptrace tabanlı bir motor kullanılarak çözülür ve bu da analizi daha da zorlaştırır.
Bir Linux paketleyicisi olan Kiteshield, analizi engellemek için hata ayıklamayı önleyici teknikler kullanır.
Yükleyici, işlem durumunu inceleyerek ve bellek dökümlerini engellemeye çalışarak hata ayıklayıcıları kontrol eder.
Ayrıca, karakter konumuna göre değişen bir anahtarla tek baytlık bir XOR kullanarak dizeleri gizler.
Yükleyici içindeki şifrelenmiş dizeler, daha fazla kontrol için kullanılan dosya yollarını ve hata ayıklama araçlarını devre dışı bırakmak için kullanılan ortam değişkeni adlarını içerir.
Sağlanan Python kodu, XOR mantığına dayalı olarak bu dizelerin şifresinin nasıl çözüleceğini göstererek, paketlenmiş ikili dosyanın davranışının biraz anlaşılmasına olanak tanır.
Kiteshield ile paketlenmiş ELF dosyaları için, belirli bir YARA kural imzasının tanımlanmasını ve ardından dosyayı ayrıştırmak için bir Python betiğinin kullanılmasını içeren bir paket açma yöntemini açıklar.
Betik, dosyanın kendisinden çıkarılan bir anahtarı kullanarak paketlenmiş yükün şifresini çözmek için Crypto.Cipher.ARC4 kitaplığını kullanır, ELF dosyasının paketlenmemiş sürümü daha sonra yeni bir dosyaya yazılır ve Kiteshield’ın kaçınma tekniklerinin etkinliği vurgulanır. çoğu antivirüs motoru yalnızca genel algılamalar sağlar.
Xlab’daki araştırmacılar, paketlenmemiş üç kötü amaçlı yazılım örneğini analiz etti; bunlardan ilki (MD5: 951fe6ce076aab5ca94da020a14a8e1c), çoğu antivirüs yazılımı tarafından algılanan bir Winnti APT kullanıcı alanı rootkit’idir.
İkincisi (MD5: a42249e86867526c09d78c79ae26191d), daha önce bilinmeyen siber suç grubu amdc6766 tarafından hazırlanan, BT yazılımındaki güvenlik açıklarını hedef alan ve kalıcılık için kötü amaçlı kodlar enjekte eden bir damladır ve
5c9887c51a0f633e3d2af54f788da525 MD5 kodlu üçüncüsü, antivirüs yazılımının kısmen keşfettiği Gafgyt botnet’ine yönelik bir komut dosyasıdır.
Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.