Kötü şöhretli bir uzaktan erişim Trojan (sıçan) olan Nanocore, Windows sistemleri için önemli bir tehdit oluşturmaya devam ediyor.
Casusluk yetenekleri ve modüler tasarımı ile bilinen bu kötü amaçlı yazılım, siber suçlular tarafından hassas verileri yaymak, enfekte olmuş sistemleri kontrol etmek ve gelişmiş teknikleri kullanarak kalıcılığı korumak için kullanılmaktadır.
Bir nanocore örneğinin (MD5 karma: 18B476D3724CB0B435D7B06912E9193) yakın tarihli bir analizi, sofistike davranışları ve saldırı mekanizmalarına ışık tutar.
Davranışsal analiz
Nanocore Rat, tehlikeye atılan sistemlerde kalıcılığını sağlamak için birden fazla yöntem kullanır.
Yürütme üzerine kendisini gizli dizinlere kopyalar ve Windows kayıt defterini değiştirir.
Özellikle, altında bir giriş oluşturur HKCU\Software\Microsoft\Windows\CurrentVersion\Run yükünü yürütmek için (saasmon.exe) başlangıç sırasında.
Ayrıca, Windows Görev Zamanlayıcısını kullanır (schtasks.exe) planlanan görevler oluşturmak için sistemdeki dayanağını daha da sağlamlaştırır.
Kötü amaçlı yazılım ayrıca yerlerde dizinler oluşturur. C:\Program Files (x86)\SAAS Monitor Ve C:\Users\User\AppData\Roaming\81E42A3A-6BA0-4784-B7EC-E653E9E1A8ED.
Kötü amaçlı yazılım analizine göre, bu dizinler Keylog dosyaları ve diğer söndürülmüş veriler de dahil olmak üzere bileşenlerini depolar.
Veri Defiltrasyonu
Nanocore’un birincil amacı veri hırsızlığı ve casusluktur.
Bir komut ve kontrol (C2) sunucusuna göndermeden önce bunları yerel olarak saklayarak tuş vuruşlarını, ekran görüntülerini ve pano içeriğini yakalar.
Dinamik analiz sırasında, kötü amaçlı yazılımların iletişim kurduğu gözlemlendi. simpletest.ddns.net 9632 bağlantı noktasının üzerinden.
Ayrıca bağlantı kontrolleri için Google DNS’yi (8.8.8.8) kullanır. Sıçanın modüler eklenti sistemi casusluk yeteneklerini geliştirir.
Örneğin, “SurveylanceEx” eklentisi, saldırganların kullanıcı etkinliğini gerçek zamanlı olarak kaydederek mağdurları daha etkili bir şekilde izlemelerini sağlar.
Tespit ve engelleme analizinden kaçınmak için Nanocore, eazfuscator gibi gizleme tekniklerini kullanır.
Analistler, kötü amaçlı yazılımları bozmak için DE4DOT gibi araçları kullandılar ve dahili mantık ve sınıf yapılarını ortaya çıkardılar.
Dize analizi, görev planlaması ve C2 iletişimi ile ilgili komutları ortaya çıkararak kötü niyetli niyetini daha da doğruladı.
Uzlaşma Göstergeleri (IOCS)
- Dosya karma: 18B476D37244CB0B435D7B06912E9193
- Kayıt Defteri Anahtarı:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\saasmon.exe - Dosya Sistemi Değişiklikleri:
C:\Program Files (x86)\SAAS Monitor\saasmon.exeC:\Users\User\AppData\Roaming\81E42A3A-6BA0-4784-B7EC-E653E9E1A8ED- Ağ Göstergeleri:
- C2 Etki Alanı:
simpletest.ddns.net - Liman: 9632
Nanocore sıçan, uyarlanabilirliği ve kapsamlı özellik seti nedeniyle güçlü bir tehdit olmaya devam etmektedir.
Windows görev zamanlayıcısının kalıcılık için kullanımı, gelişmiş casusluk özellikleri ile birleştiğinde, hassas verileri hedefleyen siber suçlular için tercih edilen bir araç haline getirir.
Kuruluşlara olağandışı faaliyetler için ağ trafiğini izlemeleri, sağlam uç nokta koruma çözümleri uygulamaları ve kullanıcıları kimlik avı riskleri hakkında eğitmeleri tavsiye edilir.
Dikkatli kalarak ve proaktif güvenlik önlemlerinden yararlanarak, savunucular bu kalıcı kötü amaçlı yazılım ailesinin ortaya koyduğu riskleri azaltabilir.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free