Backdoor kötü amaçlı yazılım, standart kimlik doğrulama mekanizmalarını atlamak ve tehlikeye atılan sistemlere kalıcı, yetkisiz erişim sağlamak için tasarlanmış gizli bir kötü amaçlı yazılımdır.
Acil hasar veya veri hırsızlığına öncelik veren geleneksel kötü amaçlı yazılımların aksine, backdroors gizli ve uzun ömürlülüğe odaklanır, saldırganların enfekte uç noktaları uzaktan kontrol etmesini, ek yükleri dağıtmasını, hassas bilgileri pessat etmelerine ve minimal algılama ile ağlar arasında yanal olarak hareket etmesini sağlar.
Buterat arka kapı, sofistike kalıcılık teknikleri ve uzaktan komut ve kontrol (C2) sunucuları ile uyarlanabilir iletişim yöntemleriyle bilinen bu tehdit sınıfının dikkate değer bir örneğidir.
İlk olarak işletme ve hükümet ağlarına yönelik hedefli saldırılarda tanımlanan Buterat, yaygın olarak kimlik avı kampanyaları, kötü niyetli ekler veya truva yazılım indirmeleri aracılığıyla yayılır.
Yürütüldükten sonra, süreçlerini meşru sistem görevleri altında gizler, kalıcılık için kayıt defteri anahtarlarını değiştirir ve ağ tabanlı algılamayı önlemek için şifreli veya gizlenmiş iletişim kanallarını kullanır
Statik ve dinamik analiz
ExeInfo PE kullanan bir ön statik analiz, örneğin yürütme akışını gizlemek için tasarlanmış çok sayıda şifreli ve gizlenmiş dizeler içerdiğini ve API’nın enfekte olmuş ana bilgisayarda kötü amaçlı dosyaların indirilmesi veya yürütülmesi çağrısında bulunduğunu ortaya koymaktadır. Örneğin dosya karmaları:
- MD5: 5D73AAD06259533C238F0CDB3280D5A8.
- SHA-1: 6A1C418664FE5214C8E3D2F8F5020E1CB4311584.
- SHA-256: F50EC4CF0D0472A3E40FF8B9D713FB0995E648ECEDF15082A88B6E6F1789CDAB.
- Imphash: 3a1c6ade174e0b7afaaa1573bba99cab.
Borland Delphi ile derlenen arka kapının giriş noktası, kullanıcı modu kodu yürütülmesinin başladığı 0x00410AD8’de yer alır.
Dinamik analiz, SetThreadContext ve Resumethread dahil olmak üzere birden fazla gizlenmiş API çağrısını ortaya çıkarır.
SetThreadContext API, saldırganlara iş parçacığı yürütme üzerinde hassas bir kontrol sağlar ve işlem giriş noktalarını değiştirmeden mevcut iş parçacıklarının ele geçirilmesini sağlar – gizli yük teslimatı ve hafif davranışsal algılamadan kaçınma için idealdir.
Resumethread daha sonra bu manipüle edilmiş iş parçacıklarını yeniden etkinleştirerek enjekte edilen kodun minimal anomali ayak izleri ile yürütülmesini kolaylaştırır.
Enfeksiyon sırasında Buterat, C: \ Users \ admin dizinine, yani amhost.exe, bmhost.exe, cmhost.exe, dmhost.exe ve lql1gg.exe – ikincil yükleyiciler veya kalıcılık ajanları olarak hizmet veriyor.
Yürütme üzerine Buterat, Ginomp3.mooo.com alt alanının arkasına gizlenmiş bir uzak C2 sunucusuna başvurmaya çalışır.
İletişim kanalı, ağ denetimi ve saldırı algılama sistemlerini önlemek için şifreleme ve gizleme katmanları kullanır.
Komutları ve yükleri HTTPS benzeri el sıkışmalarından ve randomize zamanlama aralıkları kullanarak tünel atarak, arka kapı C2 trafiğini meşru giden akışlarla karıştırabilir.
Kötü amaçlı yazılım ayrıca Windows Meşru Sistem görevlerinden – Windows güncellemesini veya sistem ana bilgisayar hizmetlerini taklit etme süreçlerini yeniden sunan – uç nokta koruma platformlarından şüpheyi daha da azaltır.
Uç nokta koruması: Gizli API çağrılarını ve iplik enjeksiyon tekniklerini tespit etmek için davranışsal analiz yapabilen güncel anti-kötü amaçlı yazılım ve antivirüs çözümleri dağıtın.
Ağ İzleme: Ginomp3.mooo.com gibi alanlara şüpheli bağlantıları işaretlemek için trafik analiz araçlarını ve ağ anomalisi algılamasını uygulayın.
Güvenlik Duvarı ve Kimlikleri: SetThreadContext’i uyarmak ve normal temel çizgilerin dışındaki kullanım kalıplarını yeniden okumak için yetkisiz giden bağlantıları ve kimlik kurallarını engelleyecek şekilde güvenlik duvarlarını yapılandırın.
Sistem bütünlüğü izleme: Özellikle Amhost.exe, Bmhost.exe, cmhost.exe, dmhost.exe ve lql1gg.exe adlı yürütülebilir ürünler için kullanıcı dizinlerinde beklenmedik dosya oluşturma veya değişiklikleri algılamak için dosya bütünlüğü izlemesini kullanın.
Uygulama İzin Listesi: Yürütmeyi onaylanmış ikili dosyalarla kısıtlayarak, düşüşün çalışmasını önler.
Davranışsal Analiz: Çalışma işlemlerinde canlı iş parçacığı enjeksiyonlarını ve kod değişikliklerini tanımlamak için bellek analizi özelliklerine sahip güvenlik platformlarını seçin.
Çalışan Eğitimi ve Farkındalığı: Personeli kimlik avı e -postalarını ve truva atışlarını tanıyan eğitmek için eğitin; Resmi satıcı kaynaklarına karşı eklerin ve indirmelerin doğrulanmasını teşvik edin.
Point Wild’ın Lat61 platformunu entegre etmek
Point Wild’ın Birleşik Güvenlik Platformu LAT61, entegre uç nokta koruması, ağ izleme ve tehdit istihbaratı sunar.
LAT61 Tehdit İstihbarat Ekibi, Buterat’ın gelişen altyapı ve taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) aktif olarak izler, gerçek zamanlı güncellemeleri algılama kurallarına ve yanıt iş akışlarına besler.
Backdoor.win32.Buterat kötü amaçlı yazılım, uzlaşmış sistemlere uzun vadeli yetkisiz erişimi sürdürmek için tasarlanmış son derece gizli ve kalıcı bir enfeksiyon metodolojisini göstermektedir.
Şifreli dizelerden yararlanarak, SetThreadContext gibi gizlenmiş API çağrıları ve sofistike iplik manipülasyon teknikleri, standart davranışsal algılama mekanizmalarını etkili bir şekilde atlar.
Birden fazla yük bırakma ve şifreli C2 iletişimi kurma yeteneği, tehdit potansiyelini güçlendirerek saldırganların keyfi komutlar yürütmelerini, duyarlı verileri genişletmesine ve kurumsal ağlar içindeki tabanlarını genişletmesine olanak tanır.
Zamanında tespit, proaktif tehdit avı ve kapsamlı uç nokta ve ağ savunmaları, buterat ve benzer arka kapı tehditlerinin ortaya koyduğu riski azaltmak için gereklidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.