
Sofistike bir kötü niyetli paket, Windows sistemlerini hedefleyen arka kapı özelliklerini barındırırken, meşru bir çorap 5 proxy aracı olarak maskelenen Python Paket Endeksi’ne (PYPI) sızdı.
Xray-725599 olarak izlenen SoopSocks paketi, kendisini SOCKS5 proxy hizmetleri oluşturan iyi huylu bir ağ yardımcı programı olarak sunar ve sunucu bilgilerini yapılandırılabilir Discord Webhooks’a bildirir.
.webp)
Bununla birlikte, bu cephenin altında, tehlikeye atılan Windows makinelerinde kalıcı arka kapı erişimi oluşturmak için tasarlanmış karmaşık bir çok aşamalı saldırı çerçevesi yatmaktadır.
Kötü amaçlı yazılım, sürüm geçmişi boyunca dikkate değer bir evrim gösterir, temel SOCKS5 uygulamalarından 0.1.0 ila 0.1.2 sürümlerinde Windows Hizmet Entegrasyonu, VBScript yükleyicileri ve derlenmiş GO yürütülebilir ürünleri içeren gelişmiş dağıtım mekanizmalarına ilerler.
Bu ilerleme, hem VBScript hem de yürütülebilir dağıtım vektörlerinden yararlanan otomatik kurulum süreçleri aracılığıyla gizli yetenekleri geliştirmeyi ve güvenlik kontrollerini atlamayı amaçlayan kasıtlı gelişimi göstermektedir.
JFrog Security Research analistleri, açık kaynaklı depoların rutin izlenmeleri sırasında kötü niyetli paketi belirledi ve daha derin bir soruşturma gerektiren şüpheli davranışları tanıydılar.
Paketin aldatıcı doğası, aynı anda gizli iletişim kanalları ve kalıcı erişim mekanizmaları oluştururken, meşru işlevsellik sağlayan fonksiyonel SOCKS5 proxy yeteneklerinde yatmaktadır.
Birincil tehdit, paketin kendini yüksek ayrıcalıklara sahip bir Windows hizmeti olarak yükleme, otomatik olarak güvenlik duvarı kurallarını yapılandırma ve komut ve kontrol altyapısı ile sürekli iletişimi sürdürme yeteneğinden ortaya çıkar.
Kötü amaçlı yazılım, planlanan görevler, Windows hizmetleri ve otomatik başlangıç yapılandırmaları dahil olmak üzere birden fazla kalıcılık mekanizması kullanır ve sistem yeniden başlatmalarında ve kullanıcı oturumlarında hayatta kalmayı sağlar.
Gizli kurulum ve kalıcılık mekanizmaları
Soophocks’un mevcut yinelemesi, etrafında ortalanmış sofistike bir kurulum mekanizması kullanır. _autorun.exe
Yürütülebilir, PE32+ ikili, tüm dağıtım sürecini minimal kullanıcı etkileşimi ile düzenleyen GO kaynak kodundan derlenen bir PE32+ ikili.
Bu yürütülebilir ürün, tespit ve kullanıcı görünürlüğünü önlemek için tasarlanmış birden fazla kaçaklama tekniği uygularken PowerShell’i birincil düzenleme mekanizması olarak kullanır.
Kurulum işlemi, yürütülebilir dosyası PowerShell’i standart güvenlik kontrollerini ve günlükleme mekanizmalarını atlayan özenle hazırlanmış parametrelerle başlattığında başlar.
Kötü amaçlı yazılım, yürütme ilkesini atlar, algılama kancalarını önlemek için profil yüklemesini atlar, kullanıcı uyarılarını önlemek için hata çıkışını bastırır ve kurulum sırası boyunca etkileşimli istemleri gizler.
Bu yapılandırma, kötü amaçlı yazılımların kullanıcı bildirimlerini veya yönetici uyarılarını tetiklemeden birden fazla dağıtım aşaması yürütmesini sağlar.
powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden
Operasyonel bir kez, kötü amaçlı yazılımlar C:\Program Files\socks5svc\socks5svc.exe
ve Go Service Kütüphanesi’ni kullanarak Windows Hizmet Kurulumu aracılığıyla kalıcılık oluşturur github.com/kardianos/service
.
Hizmet, adlandırılmış SoopSocksSvc
otomatik başlatmayı yüksek izinlerle yapılandırır ve sistem yeniden başlatmalarında sürekli çalıştırma sağlar.
Ayrıca, kötü amaçlı yazılım, adlandırılan planlanan görevler aracılığıyla bir geri dönüş mekanizması uygular. SoopSocksAuto
Sistem başlatma ve kullanıcı oturum açma olaylarında bu tetikleyici.
Kalıcılık stratejisi, hizmet kurulumunun ötesine geçerek, 1080 bağlantı noktasında gelen TCP ve UDP iletişimlerini açan otomatik güvenlik duvarı kural konfigürasyonunu içerecek şekilde uzanır.
“Soopsocks TCP 1080” ve “Soopsocks UDP 1080” olarak adlandırılan bu kurallar, saldırganlara uzlaşmış sistem aracılığıyla sınırsız ağ erişimi sağlarken SOCKS5 proxy işlevselliğini kolaylaştırır.
Kötü amaçlı yazılımların UAC bypass mekanizmaları yoluyla ayrıcalıkları otomatik olarak artırma yeteneği, standart kullanıcı hesaplarına sahip sistemlerde bile başarılı bir şekilde konuşlandırmayı sağlar ve organizasyonel ortamlar için önemli bir güvenlik endişesini temsil eder.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.