Siber suçlular ve ulus-devlet aktörleri giderek daha fazla kötü amaçlı yazılım geliştirme için pas programlama diline döndükçe, Microsoft’un Tehdit İstihbarat Merkezi, güvenlik analistlerinin bu büyüyen tehditle mücadele etmesine yardımcı olmak için Rift adlı yeni bir açık kaynaklı araç tanıttı.
Hızı, bellek güvenliği ve sağlamlığı ile ünlü pas, tespit edilmesi ve analiz edilmesi daha zor olan kötü amaçlı yazılımlar yaratmada avantajlarından dolayı sömürülüyor.
Microsoft’un Rift’i yayınlaması, siber güvenlik topluluğunu gelişen tehditlere ayak uydurmak için özel araçlarla donatmada önemli bir adım atıyor.
Pas bazlı kötü amaçlı yazılımın zorluğu
Rust’un benzersiz özellikleri – hafıza güvenliği, eşzamanlılık ve statik bağlantı gibi – hem meşru geliştiriciler hem de kötü niyetli aktörler için çekici bir seçim yapın. Ancak, bu aynı nitelikler kötü amaçlı yazılım analistleri için büyük engeller sunmaktadır.
Pas ikili dosyaları tipik olarak statik olarak bağlantılıdır ve tüm bağımlılıkları doğrudan yürütülebilir dosyaya yerleştirir. Bu, binlerce işlevle çok daha büyük ikili dosyalarla sonuçlanır – C ++ gibi geleneksel dillerde yazılmış karşılaştırılabilir programlardan daha fazla.
Örneğin, C ++ ‘da derlenen basit bir indirici programı, 100’den az fonksiyon ve 20 kb’nin altında ikili boyut içerebilirken, Rust’taki aynı program yaklaşık 10.000 fonksiyona ve 3 MB’lık boyutta balon olabilir.
Bu karmaşıklık, analistlerin standart kütüphane kodu ile saldırgan yazılı mantığı ayırt etmelerini son derece zorlaştırıyor.
Tersine Mühendislik Pust kötü amaçlı yazılım işlemi sadece zaman alıcı değil, aynı zamanda gelişmiş uzmanlık ve özel araçlar da gerektirir.
Microsoft’un araştırmacıları, bu büyüyen eğilimin, Blackcat ve Ralord gibi fidye yazılımlarının yanı sıra bilgi çalanlar ve Spica gibi arka fırınlar da dahil olmak üzere sofistike pas bazlı kötü amaçlı yazılım ailelerinin çoğalmasına yol açtığını vurguladı.
Rift: Modern analist için araçlar
Bu zorlukları ele almak için Microsoft, pas ikili dosyalarının analizini otomatikleştirmek ve kolaylaştırmak için tasarlanmış açık kaynaklı bir araç seti olan Rift’i geliştirdi. Rift üç ana bileşenden oluşur:
- Rift Statik Analizör: Rust derleyici versiyonu, bağımlılıklar, hedef mimari ve işletim sistemi de dahil olmak üzere pas ikili dosyalarından meta verileri çıkaran bir IDA Pro eklentisi. Bu bilgiler daha fazla işleme için bir JSON dosyasında saklanır.
- Rift Jenerator: Doğru pas derleyicisinin ve kütüphanelerinin indirilmesini otomatikleştiren, kütüphane tanımlaması için flört imzaları oluşturan ve Diaphora gibi araçları kullanarak ikili diffing gerçekleştiren bir Python betiği.
- Rift Diff Uygulayıcı: Flört imzalarının sonuçlarını ve doğrudan IDA içinde ikili farkın sonuçlarını uygulayan başka bir IDA Pro eklentisi, analistlerin kötü amaçlı yazılımdaki kütüphane işlevlerini hızlı bir şekilde tanımlamasına ve etiketlemelerine olanak tanır.
Rift, desen eşleşmesi için iki temel teknikten yararlanır: flört imzaları ve ikili fark.
Flört imzaları hızlı, güvenilir ve düşük yanlış pozitifler üretir, ancak yalnızca kötü amaçlı yazılımdaki kod orijinal kütüphane koduna yakından eşleştiğinde çalışırlar.
İkili diffing ise daha esnektir ve kod biraz değiştirilmiş olsa bile benzerlikleri tanımlayabilir, ancak daha fazla zaman alıcıdır ve tamamlanması birkaç saat sürebilir.
Gerçek dünya testlerinde Microsoft, Ralord fidye yazılımlarını analiz etmek için Rift’i uyguladı. Araç, derleyici bilgilerini ve bağımlılıklarını başarıyla çıkardı, flört imzaları oluşturdu ve bunları IDA Pro’ya uyguladı.
Bu, analistlerin kötü amaçlı yazılımların kötü niyetli mantığına hızlı bir şekilde izole etmelerini ve odaklanmasını sağladı ve analiz süresini önemli ölçüde azaltı. Spica arka kapı gibi daha derin analizler için, Rift, boşlukları doldurmak ve kod tabanının daha kapsamlı bir görünümünü sağlamak için hem flört imzalarını hem de ikili farklılığı birleştirdi.
Açık kaynaklı Rift ile Microsoft, siber güvenlik topluluğunda işbirliğini ve yeniliği teşvik etmeyi amaçlıyor.
Araç, GitHub’da ücretsiz olarak, Windows 10, 64 bit sistemlerde test edilen Rift Jeneratörü IDA Pro 9.0 ve üstü destekleyerek kullanılabilir.
Microsoft’un araştırma ve geliştirmeye devam eden taahhüdü, giderek daha karmaşık siber tehditlerle mücadele etmek için ileri güvenlik önlemlerinin önemini vurgulamaktadır.
Rift’in piyasaya sürülmesi, gelişen tehdit manzarasına zamanında bir yanıttır ve güvenlik profesyonellerinin pas tabanlı kötü amaçlı yazılım dalgasına karşı savunmak için ihtiyaç duydukları araçlara sahip olmalarını sağlar.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin