Bilgisayar korsanları, güvenlik önlemlerini atlamak ve gerçek bir sürecin belleğinde zararlı kodları çalıştırmak için yükleyicileri kullanır.
Bu, kötü amaçlı yazılım yüklerinin, birçok dosya yürütme izleme güvenlik çözümü tarafından keşfedilmeden sessizce sisteme yüklenmesini mümkün kılar.
Elastic Security Labs’taki siber güvenlik araştırmacıları yakın zamanda LATRODECTUS yükleyicinin tehdit aktörleri arasında popüler hale geldiğini keşfetti.
Bir haydut ICEDID’nin değiştirilmesi
Kötü amaçlı yazılım yükleyici “LATRODECTUS” Ekim 2023’te keşfedildi ve ICEDID ile güçlü ilişkiler gösteriyor. Örneğin, her ikisi de gizli içeriği şifrelenmiş bir yük taşıma tekniği kullanarak sunuyor ve aynı ağ altyapısına sahip.
Yeni bir aile olmasına rağmen hafif, minimalist bir kod tabanı aracılığıyla ihlal sonrası operasyonların büyük özelliklerini ortadan kaldırır.
Son zamanlarda, WMI veya msiexec.exe aracılığıyla uzaktan MSI kurulumu için büyük boyutlu JavaScript üzerine kurulu LATRODECTUS’u sunan e-posta kampanyalarında bir artış oldu.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın
QBOT’un çöküşü ve ICEDID’in düşüşü göz önüne alındığında, aşağıdaki iki yeni yükleyicinin bu boşlukları daha akıcı tasarımlarla doldurduğu belirtiliyor: –
Başlangıçta LATRODECTUS adı verilen bir örnek kendisini Bitdefender’dan gelen TRUFOS.SYS olarak gizler ve paketin açılmasını gerektirir.
Hepsi aynı adreste dört dışa aktarımı olan bir DLL’ye sahiptir, ancak daha önce bildirilen PRNG algoritmalarının aksine dizeleri gizlemek için şifrelenmiş baytlar üzerinde aritmetik veya bitsel işlemler kullanır.
.webp)
PEB ve CRC32’de, kernel32.dll ve ntdll.dll için LATRODECTUS içe aktarmalarının kontrolleri dinamik olarak yapılırken, diğer DLL’ler Windows sistem dizininde joker karakter aramalarından ve CRC32 doğrulamasından geçer.
Yükleyicinin bu gelişen gizleme tekniği, dinamik içe aktarma çözünürlüğüyle kendini gösterir.
Elastic güvenliği, içe aktarmaları çözdükten sonra LATRODECTUS’un anti-analiz kontrolleri gerçekleştirdiğini, hata ayıklayıcıları izlediğini, sanal alanları ve VM’leri tespit etmek için işletim sistemi sürüm eşiklerine göre çalışan süreç sayısını doğruladığını, WOW64 yürütmesini kontrol ettiğini ve geçerli MAC adreslerini doğruladığını söyledi.
Bir yazım hatası-mutex “runnung” kullanır ve birim seri numaralarından donanım kimlikleri veya kampanya karmaları oluşturur. Yapılandırmalara bağlı olarak, rastgele dosya adlarını kullanarak kendisinin kopyalarını AppData’ya veya diğer dizinlere bırakır.
LATRODECTUS mevcut veri dosyalarını okur, C2 etki alanlarını getirir ve ardından ana komut gönderici iş parçacığını yürütmeden önce Windows COM aracılığıyla kalıcılık için planlanmış bir “Güncelleyici” görevi ayarlar.
LATRODECTUS tarafından kendisini silmek için farklı alternatif veri akışları kullanılır, bu da muhtemelen olaya müdahaleyi engeller. Ayrıca RC4 kullanarak kurbanlarla C2 iletişimlerini şifreleme ve URL’ler, COMMAND ve CLEARURL aracılığıyla komutlar alma yeteneğine de sahiptir.
Temel işlevler arasında işlemler ve masaüstü dosyaları gibi bilgilerin toplanması, PE’lerin, DLL’lerin veya kabuk kodlarının indirilmesi veya başlatılması gibi formlarda kod yürütülmesi, ikili güncellemeler ve ICEDID dağıtımı yer alır.
ICEDID bileşeninde de benzer numaralandırma, dışa aktarma ve C2 trafik kalıpları bulundu ve sonuç olarak geliştirme bağlantılarına işaret edildi.
LATRODECTUS için bir destek özelliği olarak istek sayaçlarının ve rastgele işaret aralıklarının sıfırlanmasına yardımcı olur.
Bu nedenle, komut gönderici Flask sunucusunu kullanarak sanal alanlar arasında yüklerin gönderildiği test çalıştırmaları gerçekleştirdiler.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın