Açık kaynaklı bir “şifreleyici” olan AttackCrypt, yakın zamanda siber suçlular tarafından kötü amaçlı yazılım ikili dosyalarını gizlemek ve antivirüs tespitinden kaçınmak için kullanıldı.
Şifreleyici, güvenlik araçları tarafından tespit edilmesini zorlaştırmak için kötü amaçlı kodları şifreleyebilen, gizleyebilen ve değiştirebilen bir tür yazılımdır.
OALABS Research, “AttackCrypt, ikili dosyaları “korumak” ve AV tarafından tespit edilmesini “engellemek” için kullanılabilecek açık kaynaklı bir “şifreleyici” projesidir.”
Ek olarak, süreç enjeksiyonu, kalıcılık mekanizmaları, zamanlanmış görevler, başlangıç programları, dosya gizleme, .Net ve yerel enjeksiyon yöntemleri vb. dahil olmak üzere, mevcut kötü amaçlı yazılımın zararlı yeteneklerini güçlendirmek için eklenebilecek çeşitli özellikleri etkinleştirir.
AttackCrypt’in Çalışması
Araştırmacılar bu şifreleyicinin artık vahşi doğada kullanıldığını ve yakın zamanda VenomRAT’ı “korumak” için kullanıldığını söylüyor.
GitHub’daki profile göre bu programın arkasındaki profil Rus gibi görünüyor ve geçen yıldan bu yana 259 katkı ve 284 takipçi aldı.
Sayfadaki açıklamaya göre araç “Antivirüsten Farklı Tekniklerle Kaçınabilir” ve kullanım ömrünü en üst düzeye çıkarmak için bu aracın VirusTotal’a yüklenmemesi açıkça belirtiliyor.
Attacker-Crypter bir RAR arşivinde sunulur ve çalışması için gerekli olan DLL ve yapılandırma dosyaları gibi diğer dosyaları içerir. Bu DLL ve yapılandırma dosyaları yardımcı programın temel bileşenleridir ve ana modülün (Attacker-Crypter) düzgün çalışmasına yardımcı olur.
Ana modül (Attacker-Crypter), GUI’ye sahip 32 bit imzasız bir Windows çalıştırılabiliridir. Yükseltilmiş veya yönetici erişimi gerektirmek yerine mevcut kullanıcının normal güvenlik ayarlarıyla çalışabilir.
Attacker-Crypter aracından alınan kodlar, WoW64 ortamının tespiti, hata ayıklayıcı tespiti, işlem sonlandırma, işlem belleği yazma ve haritalama gibi geliştiricinin iddia ettiği bazı fonksiyonları ve mevcut kötü amaçlı yazılıma ekleyebileceği özellikleri desteklemektedir. bölümlerin eşlemesinin kaldırılması, ağ iletişimi, HTTP protokolünün kullanılması, yürütüldükten sonra dosyaların kendi kendine silinmesi vb.
- Kötü amaçlı yazılım şifrelemesi.
- AMSI (Windows Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzü) bypass.
- RunPE ve.NET derleme yüklemesini kullanarak mevcut bir sürece süreç enjeksiyonu.
- 32 bit ve 64 bit işlem enjeksiyonu.
- Güvenilir bir işlemi klonlamak ve bunu kötü amaçlı yazılıma eklemek.
- Sanallaştırma yazılımı ve hata ayıklayıcılar dahil olmak üzere analiz ortamının incelenmesi.
- İşlem enjeksiyonundan sonra yürütülebilir dosya, erime işlevini kullanarak kendisini kaldırmalıdır.
- Etkilenen dosyanın boyutunu artırmak ve orijinal kötü amaçlı yazılımdan farklı olmasını sağlamak, bayt eklenmesini gerektirir.
- Dosya gizleme.
- Kötü amaçlı yazılım dosyasının çalışması bittiğinde bir PowerShell komutunu çalıştırın.
- Soket sunucusu yapılandırması veya Telegram sohbet robotu kullanılarak şifrelenmiş kötü amaçlı yazılım çalıştırılırsa aracın kullanıcısını bilgilendirin.
Bu aracın tehdit aktörü, yeterli takipçi ve katkıya sahip oldukça büyük bir internet varlığına sahiptir. Bu bulgu, tehdit aktörlerinin dijital alanda değişen stratejilerini engellemek için güçlü güvenlik önlemlerine duyulan ihtiyacın devam ettiğini vurguluyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.