Son tehdit kampanyaları, Xworm ve Remcos da dahil olmak üzere uzaktan erişim Truva atları (sıçanlar) sunmak için BAT tabanlı yükleyicilerin gelişen bir kullanımını ortaya çıkardı.
Bu kampanyalar genellikle iyi huylu içeriği taklit ederek kullanıcı etkileşimini ikna etmek için tasarlanan bir ZIP arşivi ile başlar – IMGKIT gibi görünüşte meşru platformlarda barındırılmıştır. Açıldıktan sonra, arşiv enfeksiyon zincirinin geri kalanını düzenleyen son derece şaşkın bir yarasa komut dosyasını açar.
Çıkarma üzerine, zip dosyası statik algılama motorlarından kaçmak için birden fazla gizleme katmanı kullanan bir yarasa komut dosyası bırakır.
Yürütüldüğünde, bu komut dosyası, sıçan yükünü doğrudan belleğe enjekte eden bir PowerShell tabanlı yükleyici döndürür ve geleneksel uç nokta savunmalarını atlamak için sözsüz yürütme elde eder.
Güvenlik araştırmacıları iki temel dağıtım yöntemini belgelemiştir: bir EML dosyasında bir e -posta eki ve IMGKIT’e işaret eden bir URL aracılığıyla.
Dağıtım kanallarındaki esneklik, tehdit aktörlerinin enfeksiyon oranlarını en üst düzeye çıkarmak için teslimat taktiklerinde yinelemelerini önermektedir.
BAT komut dosyası ayrıca Windows başlangıç klasörüne bir kopya ekleyerek kalıcılık sağlar ve kötü amaçlı yükün her sistem yeniden başlatma veya kullanıcı oturum açma işleminde yürütülmesini sağlar.
Bu basit ama etkili kalıcılık mekanizması, filessiz enjeksiyon modelini tamamlar, tespit ve iyileştirmeyi önemli ölçüde daha zor hale getirir.
Kampanya 2’deki dikkate değer bir ilerleme, SVG (ölçeklenebilir vektör grafikler) dosyalarının başlangıç erişim vektörü olarak benimsenmesidir.
Bu SVG’lere gömülü olan, önceki kampanyalarda kullanılan aynı fermuar arşivinin otomatik olarak indirilmesini tetikleyen kötü amaçlı JavaScript kodudur.
Savunmasız uygulamalarda oluşturulduğunda veya kimlik avı sayfalarında önizlendiğinde, SVG’nin komut dosyası, herhangi bir kullanıcı istemi olmadan indirmeyi sessizce başlatır ve geleneksel olarak güvenli kabul edilen bir görüntü dosyasını etkili bir şekilde silahlandırır.
Saldırganlar, SVG’lerin komut dosyası özelliklerinden yararlanarak, tipik olarak görüntü formatlarını derin içerik incelemesinden dışlayan çevre savunmalarından geçebilir.
Zip arşivi mevcut olduğunda, enfeksiyon zinciri Kampanya 1: gizlenmiş BAT yükleyicisinin yürütülmesi, bellek içi güç enjeksiyonu ve sıçan yükünün nihai olarak dağıtılması.
Powershell enjeksiyonu ve kaçırma
PowerShell Loader’ın kendisi, Base64 kodlu, komut satırı argümanı olarak teslim edilen iki aşamalı bir komut dosyasıdır.
İlk aşama, kullanıcının profil dizini içindeki bir BAT dosyasında yorum olarak gömülü olan Base64 verilerini bulur ve kodlar.
Kod çözme üzerine komut dosyası, bellekte iki kritik Windows savunmasını yamalamak için .NET yansıması ve dinamik delegeleri kullanır: antimalware tarama arayüzü (AMSI) ve Windows için Etkinlik İzleme (ETW).
AmsiscanBuffer ve EtweventWrite işlevlerinin op talimatları ile üzerine yazarak, yükleyici gerçek zamanlı tarama ve olay günlüğünü devre dışı bırakarak, sonraki kötü amaçlı etkinliklerin tespit edilmemesine izin verir.
İkinci aşama, aynı yarasa dosyasından iki şifreli .NET düzenek çıkarır. Bu düzenekler baz64 kod çözme, AES sert kodlu bir anahtar ve IV ile şifre çözme ve GZIP dekompresyonuna tabi tutulur.
Montaj yoluyla doğrudan belleğe yüklenen. İlk montaj hemen yürütülürken, ikincisi tüm işlevselliğini ortaya çıkarmak için simüle edilmiş komut satırı argümanları alır-en eleştirel olarak Xworm veya Remcos’u başlatır.
Yükleyici özellikleri ve son yük
Çoklu yükleyici varyantları tanımlanmıştır, bazı yükleme .NET yürütülebilir ürünler ve diğerleri, sanalprotect ve mareşal delegeleri yoluyla doğrudan yürütme için kabuk kodunu çözen.
Varyanttan bağımsız olarak, ortak hedefleri aynıdır: Kaçınma algılaması, günlüğe kaydetmeyi devre dışı bırak, bellek yük yüklerini yükleyin ve kalıcılık elde edin.
Son yükler olan Xworm ve Remcos, dolaşımdaki en güçlü sıçanlar arasındadır. Her ikisi de anahtarlamayı, uzaktan komut yürütmeyi, dosya manipülasyonunu, ekran görüntüsünü yakalamayı ve veri açığa vurmayı destekler.
Gizli yükleyici teknikleri ve geleneksel olmayan dağıtım formatları ile birleştiğinde, bu kampanyalar sıçan dağıtım metodolojilerinde önemli bir artışı temsil etmektedir.
Bu kampanyalar, sözlü olmayan kötü amaçlı yazılım, senaryo gizleme ve geleneksel olmayan dağıtım formatlarının artan eğiliminin altını çizmektedir.
Savunucular davranışsal algılama çözümlerini benimsemeli, SVG dahil tüm dosya türleri için titiz içerik denetimi uygulamalı ve şüpheli ekleri ve bağlantıları tespit etmek için kullanıcı farkındalık eğitimini desteklemelidir.
Uç nokta koruma platformları, bellek içi yürütme modellerini izlemek ve bu sofistike tehditlerin önünde kalmak için anormal güç aktivitesini tespit etmek için gelişmelidir.
Uzlaşma göstergeleri
İşte sağlanan MD5 karmalar, ilişkili dosya türleri ve kötü amaçlı yazılım isimleri ile tablo:
| MD5 karma | Dosya Türü | Kötü amaçlı yazılım/aile |
|---|---|---|
| EDA018A9D51F3B09C20E88A15F630DF5 | Dosya | Bilinmeyen |
| 23E30938E00F89BFFF45C9C1E58A6CC1D | Yarasa | Bilinmeyen |
| 1ce36351d7175e9244209ae0d42759d9 | JS | Bilinmeyen |
| EC04BC20CA447556C3BDCFCBF662C60 | Yükleyici | Bilinmeyen |
| D439CB98CF4D359C6ABCDDB6E85454 | Xworm | Uzaktan Erişim Trojan (Sıçan) |
| [Not Provided] | Remos | Uzaktan kumanda kötü amaçlı yazılım (sıçan) |
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.