Outpost24 tarafından yapılan yeni araştırma, kötü amaçlı yazılım geliştiricilerinin, kötü amaçlı yazılımların güvenlik araştırmaları tarafından analiz edildiği bir sanal alan içindeki kötü amaçlı davranışları açığa çıkarmaktan kaçınmak için sanal alandan kaçınma teknikleri kullandığını ortaya çıkardı. Outpost24’ün tehdit istihbarat ekibi KrakenLabs, kötü amaçlı yazılım geliştiricilerinin, otomatik güvenlik analizinden kaçınmak amacıyla imleç konumlarına dayalı olarak insan davranışını tespit etmek için trigonometri kullandığını keşfetti.
Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) modeli, siber güvenlik alanında önemli bir tehdit oluşturmaktadır. Bu model, sınırlı teknik uzmanlığa sahip bireylerin veya grupların, genellikle daha yetenekli siber suçlular tarafından geliştirilen gelişmiş kötü amaçlı yazılım araçlarına ve hizmetlerine erişmesine ve bunları dağıtmasına olanak tanır. Bu tür kötü amaçlı araçlara erişimin kolaylığı, siber saldırıların sayısının ve karmaşıklığının artmasına katkıda bulunmuştur.
Anti-analiz teknikleri, başlangıcından bu yana kötü amaçlı yazılımlara dahil edildiğinden birçok güvenlik analistinin belası olmuştur. Adından da anlaşılacağı gibi, bu teknikler, genellikle “koda” bakıldığında anlaşılmasını zorlaştırarak veya kötü amaçlı yazılımın kontrollü ortamlarda çalıştırılmasını engelleyerek, korumayı amaçladıkları yazılımın analizini ve anlaşılmasını engellemek için tasarlanmıştır. Siber güvenliğin diğer tüm yönleri gibi, kötü amaçlı yazılım geliştiricileri de güvenlik analistleriyle kedi fare oyunu oynuyor, bu ortamları tespit etmek için yeni teknikler geliştiriyor; güvenlik analistleri ise bunları devre dışı bırakma veya geri alma teknikleri üzerinde çalışıyor.
C dilinde yazılmış bir bilgi hırsızı olan LummaC2, Aralık 2022’den bu yana yeraltı forumlarında satılıyor. KrakenLabs daha önce, LummaC2’nin birincil iş akışını, farklı gizleme tekniklerini ve kötü amaçlı yazılımı etkili bir şekilde ve kolaylıkla analiz etmek için bunların nasıl üstesinden gelineceğini değerlendiren kötü amaçlı yazılımın derinlemesine bir analizini yayınlamıştı. Kötü amaçlı yazılım o zamandan beri farklı güncellemelerden geçti ve şu anda 4.0 sürümünde. Diğer güncellemelerin yanı sıra, sürüm 4.0, insan fare aktivitesi tespit edilene kadar numunenin patlamasını geciktirmek için yeni bir Sandbox Karşıtı teknik içeriyor.
Bugün yayınlanan blog yazısında KrakenLabs ekibi, Packer’ın yanı sıra Kontrol Akışı Düzleştirme tekniğini de son derece teknik bilgilerle derinlemesine inceliyor. Kontrol Akışı Düzleştirme, programın orijinal akışını bozmayı ve analizini karmaşıklaştırmayı amaçlayan bir gizleme tekniğidir. Ek olarak, analizi karmaşıklaştırmak ve ilgili blokların tanımlanmasını zorlaştırmak için opak yüklemlerden ve ölü kodlardan yararlanır.
LummaC2 v4.0, kötü amaçlı yazılımı, virüslü makinede “insan” davranışı tespit edilene kadar beklemeye zorlayan yeni bir anti-sandbox tekniğinden yararlanıyor. Bu teknik, insan aktivitesini tespit etmek için kısa bir aralıkta imlecin farklı konumlarını dikkate alır ve fare hareketlerini gerçekçi bir şekilde taklit etmeyen çoğu analiz sisteminde patlamayı etkili bir şekilde önler.
Tehdit araştırmacıları ayrıca yeraltı forumlarındaki reklamlarda, kötü amaçlı yazılımın saf haliyle herhangi bir yere sızmasını önlemek için kötü amaçlı yazılımın bir şifreleyiciyle korunmasının önerildiğini açıkladı. Kötü amaçlı yazılımın daha yeni sürümleri, paketlenmemiş örneklerin sızmasını önlemek için yeni bir özellik ekledi.
Bunlara benzer tehditlere karşı koruma sağlamak için, kullanıcı eğitimi ve düzenli yazılım güncellemelerinin yanı sıra gelişmiş tehdit algılama da çok önemlidir. Bu ayın başlarında Outpost24, CORE platformunda teknoloji varlıklarının ve tehditlere maruz kalmanın tam görünürlüğünü içeren güncellemeleri duyurdu.