Palo Alto Networks, Remcos Uzaktan Erişim Trojan’ı (RAT) sağlayan sofistike bir .NET tabanlı tehdidin diseksiyonunu detaylandıran kapsamlı bir kötü amaçlı yazılım analizi öğreticisi yayınladı.
Kötü amaçlı yazılımların ortaya çıkışı, tehdit aktörlerinin, karmaşık, çok aşamalı enfeksiyon kampanyaları yürütmek için Microsoft .NET çalışma zamanı gibi meşru geliştirme ortamlarını ve araçlarını giderek daha fazla kötüye kullandıkları bir eğilimi vurgulamaktadır.
Bu özel örnek, yönetilenden yönetilmeyen kod geçişleri, çalışma zamanı API çözünürlüğü ve iyi huylu yürütülebilir ürünlere karşı işlem enjeksiyonu dahil olmak üzere yüksek bir kaçaklama kabiliyeti seviyesini göstermektedir.
Saldırı zinciri, niyetini gizlemek için gizlenmiş görünüşte zararsız bir .NET yürütülebilir dosyasıyla başlar. Bu ilk yükleyici, tehlikeye atılan bir Bitbucket deposundan PDF olarak maskelenen çevrimiçi bir yük alır.
Dosya, belge verileri yerine, doğrudan bellekte yürütmek için tasarlanmış donut tarafından oluşturulan kabuk kodu içerir. Disk yazmasından kaçınarak, saldırganlar statik imza taramasına dayanan geleneksel antivirüs motorlarının tespit riskini önemli ölçüde azaltır.
Palo Alto Networks analistleri, hedeflenen bir tehdit av operasyonu sırasında örneği belirledi ve gelişmiş izinsiz giriş tekniklerinin ayırt edici özelliği olan farklı çalışma zamanı ortamları arasında yürütme yapabilme yeteneğini kaydetti.
İndirildikten sonra, yük, gerçek kabuk kodunu yeniden yapılandırmak için basit bir ASCII-heksadeCimal kod çözme rutinden geçirir.
Yükleyici .NET’in Interop hizmetlerini, yerel Windows API’sını dinamik olarak çağırmak için kullanır ve kod çözülmüş yükü kopyalamadan önce Execable Belleği VirtualAlloc ile tahsis eder.
Gizli yönetilen kod ve geç bağlı olmayan çağrıların bu kombinasyonu statik analizi karmaşıklaştırırken, aynı zamanda şüpheli ithalatları işaretleyen birçok sezgiselliği atlıyor.
Palo Alto Networks araştırmacıları, çalışma zamanındaki bu kasıtlı API çözünürlüğünün, saldırganın taşınabilir yürütülebilir (PE) başlığından hassas ithalatları atlamasına izin verdiğini ve statik algılamadan daha da kaçındığını belirtti.
Teknik açıdan bakıldığında, bellek içi AMSI ve ETW baypas rutinlerini incelerken yükün sofistike olması belirgindir.
.webp)
AMSI işlevleri gibi AmsiScanBuffer her zaman geri dönmeye zorlayan talimatlarla doğrudan bellekte yamalanır AMSI_RESULT_CLEAN.
Temsilci bir snippet, bu yama mekanizmasını göstermektedir:-
byte[] patch = { 0x33, 0xC0, 0xC2, 0x18, 0x00 }; // xor eax,eax; ret 0x18
Marshal.Copy(patch, 0, amsiScanBufferPtr, patch.Length);Bu, güvenlik araçları bu işlevleri kanca olsa bile, kötü amaçlı arabelleklerin zararsız görünmesini sağlar.
Benzer şekilde, çağrılar EtwEventWrite tek bir ile değiştirildi ret Birçok uç nokta algılama ürününün kötü niyetli davranışları ilişkilendirmek için kullandığı pencereler için olay izlemesini etkili bir şekilde körleştirir.
Enfeksiyon mekanizmasının teknik olarak en ilgi çekici yönlerinden biri, yönetilmeyen Shellcode’dan Ortak Dil Çalışma Zamanı (CLR) örneği oluşturmasıdır.
.webp)
Savunma kancalarını devre dışı bıraktıktan sonra, Shellcode kullanır CLRCreateInstance Ve ICLRMetaHost::GetRuntime Aynı işlem içinde yeni bir .NET çalışma zamanı doğurması için, bir .NET montajı bir AppDomain.
Bu yürütme zincirinin kalıcılığı
Son aşama, _Type.InvokeMember o montajın içinde belirli bir giriş noktası yöntemi yürütme yöntemi, sırayla yumurtlar InstallUtil.exe askıya alınmış bir durumda.
Bu yürütme zincirinin kalıcılığı büyük ölçüde proses enjeksiyonuna dayanmaktadır. Kötü niyetli montaj, askıya alınmış işlemin belleğine birden fazla yolla şifre çözülmüş bir remcos yükü yazar WriteProcessMemory bellek korumasını değiştirmeden önce çağrılar PAGE_EXECUTE_READ ile VirtualProtectEx ve yürütmeye devam etmek.
Bu çok kanatlı enjeksiyon yöntemi, büyük, bitişik kötü niyetli tahsisleri tespit etmek için tasarlanmış bellek tarayıcılarından kaçmaya yardımcı olabilir.
Dinamik analiz olsa da, enjekte edilen yürütülebilir dosyaya gömülü Remcos Rat ASCII afişini kesin olarak gösterir ve kampanyanın nihai hedefini onaylar.
.webp)
Okuyucuları ilk gizlemeden son yük aktivasyonuna kadar her aşamada yürürken, Palo Alto Networks’ün öğreticisi sadece canlı bir tehdidi değil, aynı zamanda karmaşık, hibrid-runtime kötü amaçlı yazılımları incelemek için tekrarlanabilir tekniklere sahip silah analistlerini de inceliyor.
Bu sürüm, hem ayrıntılı bir adli tıp yoluyla hem de pratik bir laboratuvar kılavuzu olarak öne çıkıyor, bu da onu modern saldırı zincirlerinde yerli API sömürüsü ile yönetilen kod gizlemesini harmanlayan tehditlerle karşı karşıya olan ters mühendisler için değerli bir kaynak haline getiriyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.