Cyble Araştırma ve İstihbarat Laboratuarları (CRIL), görünüşte masum duvar kağıtları olarak gizlenmiş kötü niyetli LNK dosyalarını Asyncrat’ı teslim etmek için kullanan gizli bir kampanyayı ortaya çıkardı – rezil bir uzaktan erişim Truva (sıçan).
Bu saldırı zinciri, tespitten kaçınmak ve kurbanın sisteminde kalıcılık elde etmek için sofistike teknikler kullanarak çeşitli güvenlik açıklarından yararlanmak için tasarlanmıştır. NULL-AMSI gibi gelişmiş kaçınma yöntemleriyle, bu kampanya geleneksel güvenlik önlemlerini atlama ve dünya çapında kullanıcılar için siber bir risk oluşturma potansiyeline sahiptir.
Asyncrat kampanyasına genel bakış
Cyble araştırma ve istihbarat laboratuvarları, bu kampanyanın kökenlerini Portekizce konuşan bir tehdit oyuncusuna kadar takip etti. Kötü niyetli komut dosyaları içindeki yorum ve hata mesajları şeklinde kanıtlar, saldırganların muhtemelen Portekizce konuşan bir bölgeye özgü olduğunu ve tespit veya adli analizden kaçınmak için potansiyel olarak bundan yararlandığını göstermektedir.
Kampanyanın enfeksiyon yöntemi aldatıcı bir şekilde basit: Saldırganlar, Naruto’dan Sasuke Uchiha veya Itachi Uchiha gibi diğer anime karakterleri gibi popüler karakterleri içeren bir duvar kağıdı sunarak kurbanın çıkarlarını kullanıyor. Bu LNK dosyaları, yürütüldükten sonra, çok aşamalı bir kötü amaçlı yazılım saldırısını serbest bırakır ve sonunda kurbanın makinesinin uzaktan kumandası için asycrat dağıtır.
Etkinleştirme üzerine LNK dosyası, ek kötü amaçlı yükleri almak için harici sunuculara bağlanan gizlenmiş bir PowerShell komut dosyası çalıştırır. Bu yükler doğrudan bellekte yürütülür ve diskte iz bırakmamalarını sağlar ve antivirüs yazılımının bunları algılamasını zorlaştırır. Bu komut dosyaları tarafından indirilen yükler şifrelenir ve sıkıştırılır, güvenlik araştırmacılarının bunları analiz etmesini daha da engeller.
Null-Amsi’nin rolü
Bu kampanyanın en ilgili yönlerinden biri, saldırganların kötü niyetli komut dosyalarını algılamak ve engellemek için pencerelere yerleştirilmiş önemli bir güvenlik özelliği olan AMSI’yi atlamasına izin veren açık kaynaklı bir araç olan Null-Amsi’nin kullanılmasıdır. NULL-AMSI, kötü amaçlı yazılımların AMSI ve ETW’yi devre dışı bırakarak algılamadan kaçınmasını sağlar. Bu araç saldırganlar için kritiktir, çünkü yüklerinin güvenlik uyarılarını tetiklemeden yürütülebilmesini sağlar.
Yansıma ve doğal .NET fonksiyonları gibi teknikleri kullanarak Null-Amsi, AMSI korumalarını atlamak için belleği gerçek zamanlı olarak manipüle eder. Saldırganlar, bu bellek manipülasyonlarını anahtar sistem işlevlerini yamalamak için kullanır, böylece algılamadan kaçınır ve kötü amaçlı yazılımlarının güvenlik yazılımı tarafından işaretlenmeden arka planda serbestçe çalışmasına izin verir.
Enfeksiyon zinciri ve yük teslimatı
Enfeksiyon zinciri, kurban bilmeden Sasuke Wallpaper.lnk olarak gizlenen kötü amaçlı LNK dosyasını yürüttüğünde başlar. Bu dosya, harici bir URL’den ikincil bir yük getiren ve doğrudan bellekte yürüten komut satırı aracılığıyla gizlenmiş bir PowerShell komut dosyasını yürütür. Bu ilk yük, kötü amaçlı yazılımların kalıcılığını sağlamaktan sorumlu toplu komut dosyaları da dahil olmak üzere daha fazla dosya alırken, enfeksiyon zincirinde önemli bir adımdır.
Kötü amaçlı yazılım yükü indirildikten sonra, AES şifreleme ve GZIP sıkıştırma kullanarak eylemlerini daha da gizler. Bu, güvenlik çözümlerinin kötü amaçlı yazılımları yürütülmeden algılamasını son derece zorlaştırır. Başarılı şifre çözme ve dekompresyon üzerine, kötü amaçlı yazılım dağıtımının son aşaması Saldırgana, tehlikeye atılan sistem üzerinde tam uzaktan kumanda sağlamaktan sorumlu olan asyncrat yükü.
Teknik derin dalış
Saldırganın uAsyncrat’ın SE’si kampanyanın başarısı için çok önemlidir. Asyncrat, tehdit oyuncusunun hassas verileri çalmasına, ek kötü amaçlı yazılım yüklemesine ve kurbanın makinesinde keyfi komutlar yürütmesine izin verir. Son yük, kurbanın dikkatini dağıtmaya hizmet eden Sasuke duvar kağıdı gibi şifreli dosyalarda dikkatlice gizlenmiştir. Duvar kağıdı dosyası, arka planda etkinleştirilen ve sonuçta Asyn’i teslim eden gizli baz 64 kodlu kötü niyetli içerik içerir.Crat yükü.
Output.bat dosyası bu saldırının özellikle önemli bir parçasıdır. Oldukça gizlenir ve yürütüldüğünde AMSI ve ETW’yi atlamak için tasarlanmış başka bir PowerShell komut dosyasını alan baz64 kodlu PowerShell kodu içerir. Bu adım, saldırının geleneksel güvenlik araçları tarafından tespit edilmemesini sağlamak için çok önemlidir.
Kötü amaçlı yazılım yürütüldükten sonra, sistemin bellek korumalarını değiştirir ve AMSI ve ETW’yi etkili bir şekilde devre dışı bırakarak anahtar sistem işlevlerini yamalar. Bu, kötü niyetli etkinliğin güvenlik programlarından gizli kalmasını sağlar ve saldırganların sistem üzerinde kontrolü sürdürmesine izin verir.
Yansıma yükleme ve kalıcılık
Enfeksiyon zincirindeki son adım, kötü amaçlı yazılımın doğrudan PowerShell belleğinde kodu yürüttüğü bir teknik olan yansıma yüklemesini içerir. Bu, saldırganların diske yazmadan belleğe kötü amaçlı kod enjekte etmesini sağlar ve algılamayı daha da zorlaştırır. Asyncrat yükleyici, başlangıç klasörüne kopyalayarak kalıcılığa neden olur ve sistemin her başladığında çalışmasını sağlar.
Asyncrat yükü yüklendikten sonra, mağdurun sistemi üzerinde kontrol oluşturur ve saldırganın makineyi uzaktan kontrol etmesine, verileri çalmasına, ek kötü amaçlı yazılım yüklemesine veya daha fazla saldırı başlatmasına izin verir.
Geleneksel güvenlik önlemlerini atlamak
Kampanyanın NULL-AMSI ve diğer gelişmiş teknikleri kullanımı, siber tehdit manzarasında artan bir eğilim göstermektedir: Saldırganlar, geleneksel güvenlik önlemlerini atlamak için giderek daha fazla sofistike araçlardan yararlanıyor. PowerShell, AMSI ve ETW’deki güvenlik açıklarından yararlanarak, saldırganlar herhangi bir güvenlik uyarısını tetiklemeden asycrat’ı gizlice dağıtabilirler.
Şifreleme ve sıkıştırma teknikleri, kötü niyetli yükler, şifrelenene ve dinamik olarak yürütülene kadar gizlendiğinden, analizi daha da karmaşıklaştırır. Bu, güvenlik araçlarının tamamen konuşlandırılmadan saldırıyı yakalamasını zorlaştırır.
Çözüm
Bu kampanya, Null-Amsi gibi ileri kaçakçılığın arttırıcı, saldırganların geleneksel güvenliği atlamasına ve Asyncrat gibi kötü amaçlı yazılımlar yürütmesine izin verdiği siber saldırıların artan sofistike olmasını vurgulamaktadır.
Bu tehditlere karşı korumak için kullanıcılar, dosya indirmekten veya güvenilmeyen kaynaklardan bağlantıları tıklamaktan kaçınmalıdır. Antivirüs ve uç nokta çözümleri AMSI bypass tekniklerini tespit etmeli ve PowerShell politikaları yetkisiz komut dosyalarını kısıtlamalıdır. Güvenlik açıklarını yama için düzenli ağ izleme ve zamanında sistem güncellemeleri gereklidir.
Kuruluşlar ayrıca kullanıcıları bu tür saldırıların riskini azaltmak için kimlik avı, sosyal mühendislik ve güvenli tarama konusunda eğitmelidir. KibirAI destekli siber güvenlik alanında bir lider, Cyble Vizyon platform. Bu, gerçek zamanlı izleme ve proaktif savunma sağlar ve kuruluşların siber tehditlerden korunmasına yardımcı olur.