Kötü Amaçlı Yazılım Aileleri Kalıcılık İçin COM Ele Geçirme Tekniğine Uyum Sağlıyor

   Mart 11, 2024  Posted in CyberSecurityNews


Kötü Amaçlı Yazılım Aileleri Kalıcılık Sağlamak İçin COM Ele Geçirme Tekniğine Uyum Sağlıyor

COM (Bileşen Nesne Modeli) ele geçirme, tehdit aktörlerinin COM nesnesiyle ilgili belirli bir kayıt defteri anahtarına yeni bir değer ekleyerek Windows'un çekirdek mimarisinden yararlandığı bir tekniktir.

Bu, tehdit aktörlerinin hedef sistemlerde hem kalıcılık hem de ayrıcalık artışı elde etmesine olanak tanır.

Ancak bazı kötü amaçlı yazılım ailelerinin bu tekniği COM nesnelerini kötüye kullanmak için kullandığı tespit edildi.

Bu tür kötü amaçlı yazılımların çeşitli örnekleri, 2023'ten bu yana VirusTotal'daki araştırmacılar tarafından keşfedildi.

Cyber ​​Security News ile paylaşılan raporlara göre, tehdit aktörleri ele geçirilen sistemlere kalıcı erişim sağlamak için çeşitli COM nesnelerini de kötüye kullandı.

Belge

Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN'u şirketinize entegre edin

Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:

  • Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
  • Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
  • Bir takımda çalışın
  • Maksimum veriyle ayrıntılı raporlar alın

    • Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:

Bu tekniği kullanmak için CLSID (Sınıf Kimliği) kullanan kötü amaçlı yazılım ailelerinden bazıları şunlardır:

  • Berbew
  • RAT'lar
  • RAT'lar ve güvenlik açıkları
  • Reklam yazılımı

Berbew

Bu, kalıcılık sağlamak için bu COM tekniğini kötüye kullanan en önemli kötü amaçlı yazılım ailelerinden biridir. Bu kötü amaçlı yazılım ailesi, kimlik bilgilerini çalmaya ve bunları C2 sunucularına sızdırmaya odaklanıyor.

Ancak bu ailenin birkaç kötü amaçlı yazılım örneği, aşağıdaki COM nesnelerini kötüye kullanarak kalıcılık sağlamak için ikinci bir kayıt defteri anahtarı kullandı:

  • {79ECA078-17FF-726B-E811-213280E5C831}
  • {79F CFF-OFİS-815E-A900-316290B5B738}
  • {79FAA099-1BAE-816E-D711-115290CEE717}

RAT'lar

Uzaktan Erişim Truva Atlarının (RAT'lar) çoğu, CLSID {89565275-A714-4a43-912E-978B935EDCCC} kullanan RemcosRAT ve AsyncRAT gibi COM'u kötüye kullanma tekniklerini kullandı.

Üstelik BitRAT'lar ve SugarGh0st RAT gibi başka RAT'lar da vardı.

Çoğu durumda, bu kötü amaçlı yazılım aileleri tarafından kullanılan DLL, dynwrapx.dll dosyasını kullanıyordu.

Ancak XiaoBa gibi bazı kötü amaçlı yazılım türleri, fidye yazılımı dağıtımı için aynı DLL'yi kullanarak aynı teknikleri kullandı.

Güvenlik Açıklarıyla RAT'ler

COM nesnelerini kötüye kullanmak için hiçbir zaman bir güvenlik açığından yararlanmayan RAT'lar olsa da, sistemleri tehlikeye atmak için CVE-2024-21412'yi (İnternet kısayol dosyaları güvenlik özelliği atlaması) kullanan Darkme RAT gibi bu tekniği kullanan RAT'lar da vardı. .

Çoklu CLSID Kullanımı

Bazı durumlarda kötü amaçlı yazılım aileleri, bu COM ele geçirme tekniğini kötüye kullanmak için birden fazla CLSID kullandı.

Bu kötü amaçlı yazılım ailelerinin örnekleri, bulaşma aşamalarında ek eylemler gerçekleştirmek için Windows Güvenlik Duvarı'nı ve UAC'yi de kapattı.

Bunun bir örneği, çeşitli COM nesnelerini kullanan ve yürütme sırasında bunların kötü amaçlı bir DLL'ye işaret etmesini sağlayan Allaple solucanı kötü amaçlı yazılım ailesidir.

Alliaple solucanı (Kaynak: Virustotal)

Reklam yazılımı

Citrio, Catalina grubu tarafından tasarlanan ve son sürümünde kalıcılık için COM nesne ele geçirme tekniğini kullanan reklam yazılımlarından biriydi.

Reklam yazılımı, sistem üzerinde hizmet kurma yeteneğine sahip olan Google Güncelleme'nin görünümü altında çeşitli kötü amaçlı DLL dosyaları bırakır.

Bu kötü amaçlı yazılım ailelerinin tümü, yüklerini bırakmak için farklı yürütme ve kullanım klasörlerine sahiptir. Bu kötü amaçlı yazılımların kullandığı en yaygın klasörlerden bazıları şunlardır:

  • \qmacro
  • \mymacro
  • \MacroCommerce
  • \Eklenti
  • \Microsoft
Reklam Yazılımı (Kaynak: Virustotal)

Uzlaşma Göstergeleri

CLSID – COM Nesneleri

  • 79FAA099-1BAE-816E-D711-115290CEE717
  • EBEB87A6-E151-4054-AB45-A6E094C5334B
  • 241D7F03-9232-4024-8373-149860BE27C0
  • C07DB6A3-34FC-4084-BE2E-76BB9203B049
  • 79ECA078-17FF-726B-E811-213280E5C831
  • 22C6C651-F6EA-46BE-BC83-54E83314C67F
  • F4CBF20B-F634-4095-B64A-2ECDDD9E560E
  • 57477331-126E-4FC8-B430-1C6143484AA9
  • C73F6F30-97A0-4AD1-A08F-540D4E9BC7B9
  • 89565275-A714-4a43-912E-978B935EDCCC
  • 26037A0E-7CBD-4FFF-9C63-56F2D0770214
  • 16426152-126E-4FC8-B430-1C6143484AA9
  • 33414471-126E-4FC8-B430-1C6143484AA9
  • 23716116-126E-4FC8-B430-1C6143484AA9
  • D4D4D7B7-1774-4FE5-ABA8-4CC0B99452B4
  • 79FEACFF-FFCE-815E-A900-316290B5B738
  • 74A94F46-4FC5-4426-857B-FCE9D9286279

COM Nesnesinin Kalıcılığı Sırasında Kullanılan Ortak Yollar

  • C:\Kullanıcılar\\Uygulama veri dolaşımı
  • C:\Kullanıcılar\\AppData\Roaming\qmacro
  • C:\Kullanıcılar\\AppData\Roaming\mymacro
  • C:\Kullanıcılar\\AppData\Roaming\MacroCommerce
  • C:\Kullanıcılar\\AppData\Roaming\Plugin
  • C:\Kullanıcılar\\AppData\Roaming\Microsoft
  • C:\Windows\SysWow64
  • C:\Program Dosyaları (x86)
  • C:\Program Dosyaları (x86)\Google
  • C:\Program Dosyaları (x86)\Mozilla Firefox
  • C:\Program Dosyaları (x86)\Microsoft
  • C:\Program Dosyaları (x86)\Ortak Dosyalar
  • C:\Program Dosyaları (x86)\Internet İndirme Yöneticisi
  • C:\Kullanıcılar\\AppData\Local
  • C:\Kullanıcılar\\AppData\Local\Temp
  • C:\Kullanıcılar\\AppData\Local\Microsoft
  • C:\Kullanıcılar\\AppData\Local\Google
  • C:\Windows\Temp

Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.





Source link