Oldukça gelişmiş bir uzaktan erişim Truva atı (Rat) olan Koni Rat, çok aşamalı saldırıları yürütmek için Windows Gezgini sınırlamalarından yararlanan önemli bir siber güvenlik tehdidi olarak ortaya çıktı.
Bu kötü amaçlı yazılım, sistemlere sızmak, hassas verileri söndürmek ve kalıcılığı korumak için toplu dosyalar, PowerShell komut dosyaları ve VBScript’in bir kombinasyonunu kullanır.
Sapma ve gizlilik yoluyla tespitten kaçınma yeteneği, onu siber ihale için güçlü bir araç haline getirir.
Windows Explorer güvenlik açıklarının sömürülmesi
Koni Rat, kötü niyetli faaliyetlerini gizlemek için Windows işletim sisteminin doğal özelliklerinden yararlanır.
Windows Explorer’ın LNK dosyalarındaki 260 karakterlik yol sınırından ve bilinen dosya türleri için dosya uzantılarını gizlemenin varsayılan davranışından yararlanır.
Bu taktikler, kötü amaçlı yazılımların, arka planda kötü amaçlı komutlar yürütürken .docx belgeleri gibi zararsız dosyalar olarak görünen yüklerini maskelemesine izin verir.
Kötü amaçlı yazılımların ilk enfeksiyon vektörü genellikle kimlik avı kampanyalarını veya geri yüklenen yazılım yükleyicilerini içerir.
Dağıtım yapıldıktan sonra, sonraki saldırının aşamalarını başlatmak için gizlenmiş PowerShell komutlarını kullanır.
Rapora göre bunlar arasında veri açığa çıkma, yük yürütme ve kalıcılık için kayıt defteri değişiklikleri yer alıyor.
Çok aşamalı saldırı stratejisi
Koni Rat birkaç aşamada çalışır:
- İlk yürütme: Kötü amaçlı yazılım, CMD.EXE aracılığıyla komutları yürütür, PowerShell yürütülebilir dosyalarını arar ve gizlenmiş komut dosyalarını başlatır.
- Yük dağıtım: Geçici dosyalar oluşturur, ek yükleri çıkarır ve etkinliğinin izlerini siler. Örneğin, dosya yollarını manipüle etmek, URL’leri dinamik olarak kodlamak ve hassas verileri uzak sunuculara iletmek için toplu komut dosyaları kullanır.
- Veri Defiltrasyonu: İndirme ve belgeler gibi dizinlerden sistem bilgileri ve kullanıcı dosyaları toplanır ve şifreli iletişim kanalları kullanılarak komut ve kontrol (C2) sunucularına iletilir.
- Kalıcılık mekanizmaları: Koni Rat, komut dosyalarının sistem başlatılması üzerine yürütüldüğünden emin olmak için Windows kayıt defterini değiştirir ve tehlikeye atılan sistemlere uzun vadeli erişimi sürdürür.
Kötü amaçlı yazılım, algılamayı önlemek için birkaç sofistike yöntem kullanır:
- Şaşkınlık: Değişken adları ve komut dosyası mantığı kasıtlı olarak karmaşıktır ve statik analizi engeller.
- Dinamik url nesli: Veri açığa çıkma için URL’ler, zaman damgası ve şifreleme işlevleri kullanılarak dinamik olarak oluşturulur, bu da bunların algılanmasını veya engellenmesini zorlaştırır.
- Gizli dosya işlemleri: Adli izleri en aza indirmek için yürütme sırasında geçici dosyalar oluşturulur ve silinir.
Koni Rat, APT37 gibi Kuzey Kore tehdit aktörleriyle bağlantılıdır ve Doğu Asya, Avrupa ve Orta Doğu’daki varlıkları hedeflemiştir.
Gelişen taktikleri, modern siber tehditlerin artan sofistike olmasının altını çiziyor.
Kuruluşlar, bu tür gelişmiş kötü amaçlı yazılımlarla ilişkili riskleri azaltmak için davranış temelli izleme, uç nokta güvenlik çözümleri ve kullanıcı farkındalığı eğitimi gibi proaktif savunma stratejileri benimsemelidir.
Windows Explorer sınırlamalarını kullanarak ve çok aşamalı saldırı stratejileri kullanarak Konni Rat, sistem güvenliği için ciddi bir tehdit oluşturarak gelişen siber tehditler karşısında sürekli uyanıklık ihtiyacını vurguluyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!