LummaC2 Fare Hareketlerini Takip Etmek İçin Trigonometri Kullanıyor


LummaC2 Kötü Amaçlı Yazılımı Trigonometri Kullanarak Bilgisayar Fare Hareketlerini İzliyor

MaaS (Hizmet Olarak Kötü Amaçlı Yazılım), güçlü araçlara kolay erişim sunarak yeni siber tehditlere karşı en iyi seçenek olarak büyüyor. Tehdit aktörleri öncelikle Maas yönetimindeki bilgi hırsızlığına odaklanıyor ve saldırıya uğramış cihazlardan hassas verileri çalma ve sızdırma konusunda uzmanlaşıyor.

Bu kötü niyetli davranış, önemli mali kayıplara neden olma potansiyeliyle hem bireyler hem de işletmeler için ciddi bir risk oluşturmaktadır.

Outpost24’ün KrakenLabs’ındaki siber güvenlik araştırmacıları yakın zamanda LummaC2 v4.0’ın yeni bir Sandbox Karşıtı hile ile sandbox’lardan kaçtığını buldu.

Bunun yanı sıra, “LummaC2 v4.0”ın arkasındaki tehdit aktörü, kötü amaçlı yazılımların değişmeden yayılmasına karşı uyarıda bulunuyor.

Belge

Ücretsiz Web Semineri

Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği


LummaC2 v4.0

C dilinde yazılmış bir bilgi hırsızı olan LummaC2, Aralık 2022’de yeraltı pazarlarına çıktı ve şu anda aşağıdaki güncellemelerle 4.0 sürümünde: –

  • Kontrol Akışı Düzleştirme
  • Yeni Anti-Sandbox tekniği
  • Dizeler artık XOR şifreli
  • C2’den alınan dinamik yapılandırma dosyalarını destekler
  • Tehdit aktörlerini derlemeleri için şifreleyici kullanmaya zorlar

Trigonometriyi Kullanmak tespit etmek için Fare Hareketler

Kötü amaçlı yazılım analizi sırasında araştırmacılar iki farklı katman keşfetti ve katmanlar şu şekilde tanımlandı: –

  • Katman 1: Bu katman, paketlenmiş örneklerde değişen montaj çöplerini kullanır, ancak anlamlı bir uygulamadan yoksundur. Push+ret ve jz+jnz, sökmeyi önleyen ve analizi zorlaştıran şaşırtma örnekleridir.
  • Katman 2: Bu katman, sökmeyi kısıtlamak için aynı gizlemeyi kullanarak birinciyi yansıtır. LoadResource ve LockResource’u kullanarak sabit kodlanmış bir kaynağı (‘3’) yükleyerek LummaC2 v4.0’ı çıkarır, şifresini çözer ve çalıştırır.
Katman yapısı (Kaynak - Outpost24)
Katman yapısı (Kaynak – Outpost24)

Kontrol Akışı Düzleştirme, bir şaşırtma tekniği olduğundan program akışını bozar ve analizi karmaşıklaştırır. Opak yüklemler, koşullu atlamalar yoluyla karmaşıklığı ortaya çıkararak programın kabulünü sürdürür.

Ölü kod, etkin olmayan veya erişilemeyen parçaları içerir. LummaC2 v4.0, bazı ölü kod bloklarında geçersiz parametrelerle bilinen rutinlere yapılan çağrıları kullanır.

Kontrol Akışı Düzleştirme gizlemesi uygulandıktan sonraki program akışı (Kaynak - Outpost24)
Kontrol Akışı Düzleştirme gizlemesi uygulandıktan sonraki program akışı (Kaynak – Outpost24)

Bu gizlemeyle başa çıkmak, ana göndericiyi, anahtar blokları (Blok 1 ve Blok 2 gibi) ve ön göndericiyi tespit etmeyi içerir. Ana dağıtıcı, yürütmenin geri döndüğü yerdir.

Predispatcher yürütmeyi yönlendirmek için parametreleri değiştirir. CFF ile blokları tanımlamak zordur. LummaC2 v4.0, kontrol akışı değerlerini yerel değişkenlerde veya kayıt noktalı bellek konumlarında saklar.

LummaC2 v4.0, gerçekçi fare hareketlerini algılayana kadar yürütmeyi geciktiren benzersiz bir sanal alan önleme taktiği sunar. İmleç konumlarını yakalar, ardından ardışık farklılıkları kontrol eder ve ‘insan’ davranışını tanımlamak için trigonometriyi kullanır.

Yakalanan 5 fare konumu (Kaynak - Outpost24)
Yakalanan 5 fare konumu (Kaynak – Outpost24)

İşlem, gerçek fare etkinliği tespit edilene kadar tekrarlanarak daha az gerçekçi sanal alan ortamlarında patlamanın önlenmesini sağlar.

Daha yeni LummaC2 v4.0 sürümleri, yürütülebilir dosyanın şifrelenip şifrelenmediğini tespit ederek paketlenmemiş örnek sızıntılarını önler. Şifrelenmemişse bir uyarı görüntüleyerek kullanıcıların yürütmeyi zarar görmeden durdurmasına olanak tanır.

IOC’ler

Hash’ler

  • b14ddf64ace0b5f0d7452be28d07355c1c6865710dbed84938e2af48ccaa46cf (paketlenmiş)
  • 4408ce79e355f153fa43c05c582d4e264aec435cf5575574cb85dfe888366f86 (ambalajsız)
  • de6c4c3ddb3a3ddbcbea9124f93429bf987dcd8192e0f1b4a826505429b74560 (paketlenmiş)
  • 976c8df8c33ec7b8c6b5944a5caca5631f1ec9d1d528b8a748fee6aae68814e3 (paketlenmemiş)

Şartlar ve Koşullar

  • Perdeler[.]eğlence
  • çok kötü[.]eğlence
  • süper yupp[.]eğlence

14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.



Source link