.webp "Kötü Amaçlı Yazılımları Antivirüsten Koruyan Yeni HeartCrypt Hizmet Olarak Paketleyici (PaaS)")
HeartCrypt adı verilen yeni bir hizmet olarak paketleyici (PaaS), kötü amaçlı yazılım operatörlerinin antivirüs tespitinden kaçması için güçlü bir araç olarak ortaya çıktı.
Temmuz 2023’te geliştirilen ve Şubat 2024’te piyasaya sürülen HeartCrypt, 45 farklı kötü amaçlı yazılım ailesinde 2.000’den fazla kötü amaçlı veriyi paketlemek için kullanılarak yeraltı siber suçlarında hızla ilgi kazandı.
HeartCrypt, meşru yürütülebilir dosyalara kötü amaçlı kod yerleştirerek kötü amaçlı yazılımların gizlenmesine yönelik benzersiz bir yaklaşım sunar. Bu teknik, ilk bakışta gerçek bir uygulama gibi göründüğü için antivirüs yazılımının kötü amaçlı yazılımı tespit etmesini son derece zorlaştırıyor.
Yeraltı forumlarında ve Telegram’da reklamı yapılan hizmet, hem Windows x86 hem de .NET yüklerini paketlemek için dosya başına 20 ABD doları ücret alıyor. Müşteri tabanı esas olarak LummaStealer, Remcos ve Rhadamanthys gibi kötü amaçlı yazılım ailelerini kullanan operatörlerden oluşuyor.
2024 MITRE ATT&CK Değerlendirme Sonuçları KOBİ’ler ve MSP’ler içins -> Ücretsiz Kılavuzu İndir
HeartCrypt Kötü Amaçlı Kod Yerleştirme
Palo Alto raporuna göre HeartCrypt’in paketleme süreci, meşru ikili dosyalara kötü amaçlı kod enjekte etmeyi içeriyor; bu, yalnızca kötü amaçlı yazılımı gizlemekle kalmayıp aynı zamanda onu belirli hedeflere göre uyarlayan bir yöntem.
Bu özelleştirme, kötü amaçlı yük için taşıyıcı olarak kullanılan 300’den fazla farklı meşru ikili dosyadan açıkça anlaşılmaktadır. HeartCrypt şu şekilde çalışır:
Yük Yürütme: Tek baytlık bir XOR işlemiyle şifrelenen son yükün şifresi çözülür ve süreç boşaltma yoluyla veya .NET çerçeve özelliklerinden yararlanılarak yürütülür.
Saplama Oluşturma: HeartCrypt, ikili sistemin .text bölümüne, bellek konumundan bağımsız olarak yürütülebilen, konumdan bağımsız bir kod (PIC) bloğu ekler.
Kontrol Akışının Ele Geçirilmesi: Orijinal ikili programın kontrol akışı, genellikle giriş noktasının yürütmeyi kötü amaçlı PIC’ye yönlendirecek şekilde değiştirilmesiyle değiştirilir.
Kaynak Ekleme: İkili dosyaya, her biri kötü amaçlı yazılımın yürütülmesinde belirli rollere sahip olan çeşitli kaynaklar eklenir. Bu kaynaklar BMP dosyaları olarak gizlenmiştir ancak kodlanmış kötü amaçlı kod içerir.
Gizleme Teknikleri: HeartCrypt, yığın dizeleri, dinamik API çözünürlüğü ve işlevsel bir amaca hizmet etmeyen ancak analizi karmaşık hale getiren aritmetik işlemler de dahil olmak üzere çok sayıda kodlama katmanı kullanır.
Anti-Analiz Teknikleri
HeartCrypt çeşitli sandbox ve anti-emülasyon tekniklerini içerir:
- Korumalı alan ortamlarını algılamak için var olmayan DLL’leri yüklemeye çalışır.
- Döngü emülasyonunu kontrol etmek için karmaşık hesaplamalar gerçekleştirir.
- Windows Defender’ın öykünücüsünden kaçmak için sanal DLL’lerden yararlanır.
Son veri, dönen bir anahtarla tek baytlık bir XOR işlemi kullanılarak şifrelenir. Paketleyici, yükün bir .NET derlemesi mi yoksa yerel bir yürütülebilir dosya mı olduğunu belirler ve kötü amaçlı yazılımı yürütmek için öncelikle süreç boşaltma olmak üzere uygun enjeksiyon tekniklerini kullanır.
HeartCrypt’in bir PaaS olarak ortaya çıkışı, kötü amaçlı yazılım operatörlerinin giriş engelini azaltarak, potansiyel olarak kötü amaçlı yazılım bulaşmalarının hacminde ve başarı oranında artışa yol açabilir. Bu gelişme, daha gelişmiş tehdit tespit tekniklerine ve proaktif tehdit avına olan ihtiyacın altını çiziyor.
Güvenlik araştırmacıları, HeartCrypt örneklerinden yükleri başarıyla çıkarıp analiz ederek, operasyonları ve ilgili kötü amaçlı yazılım kampanyaları hakkında değerli bilgiler sağladı. Bununla birlikte, bu tür paketleme hizmetlerinin sürekli gelişimi, siber güvenlik topluluğunun giderek daha karmaşık hale gelen kötü amaçlı yazılım tehditlerini tespit etme ve azaltma konusunda karşılaştığı devam eden zorlukları vurgulamaktadır.
HeartCrypt gelişmeye ve siber suçlular arasında popülerlik kazanmaya devam ettikçe, kuruluşlar ve bireyler uyanık kalmalı ve ortaya çıkan bu tehditlere karşı savunma sağlamak için güvenlik önlemlerinin güncel olmasını sağlamalıdır.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin