Parrot TDS Kötü Amaçlı Yönlendirme Komut Dosyaları Enjekte Ediyor

Dijital dünyanın karanlık derinliklerinde kurnaz bir avcı gizleniyor: Parrot TDS, yıllardır radarın altından geçen ve arkasında güvenliği ihlal edilmiş web siteleri ve savunmasız kullanıcılardan oluşan bir iz bırakan bir siber kampanyadır.

Parrot TDS kendisini koddaki bir fısıltı aracılığıyla (Ndsj, Ndsw ve Ndsx gibi anahtar kelimeler) tanımlar.

Bu şifreli işaretleyiciler, kampanyanın geniş erişimini ve kalıcı doğasını ortaya çıkararak araştırmacılar için bir yol gösterici görevi görüyor.

Palo Alto araştırmacıları tarafından yakın zamanda keşfedilen Parrot TDS (sunuculardaki mevcut JavaScript koduna kötü amaçlı komut dosyaları enjekte etmek için kullanılan hizmet) büyük ilgi toplamış olsa da, bu taktik kampanyanın tarihinde tamamen yeni değil.

İşte bu alandaki evrimine daha yakından bir bakış:

Erken Günler (2019-2020):

• Sınırlı Kod Ekleme: Parrot TDS öncelikle meşru JavaScript dosyalarının sonuna kötü amaçlı kod eklemeye dayanıyordu. Bu yaklaşım nispeten kabaydı ve tespit edilmesi daha kolaydı.
• Temel Şaşırtma: Enjekte edilen kodda sıklıkla temel gizleme teknikleri kullanıldı, bu da okumayı biraz daha zorlaştırdı ancak analizi önemli ölçüde engellemedi.

Gelişen Taktikler (2021-2022):

• Daha Gelişmiş Enjeksiyon: Saldırganlar, mevcut JavaScript işlevlerinin ortasına kod enjekte ederek normal işleyişini bozdu ve algılamayı daha karmaşık hale getirdi.
• Gelişmiş Gizleme: Dize şifreleme ve değişken yeniden adlandırma gibi tekniklerin artan kullanımı, enjekte edilen kodun analizini önemli ölçüde daha fazla zaman alıcı hale getirdi.

Son Gelişmeler (2023-Günümüz):

• Dinamik Enjeksiyon: Parrot TDS, çalışma zamanında JavaScript dosyalarına dinamik olarak kötü amaçlı kod eklemek için PHP gibi sunucu tarafı kodlama dillerinden yararlanmaya başladı. Bu, enjekte edilen kodun statik web sitesi taramalarında mevcut olmayabileceğinden tespit etmeyi daha da zorlaştırır.
• Hedefli Enjeksiyon: Saldırganlar artık hedeflenen web siteleri tarafından kullanıldığı bilinen belirli JavaScript kitaplıklarına veya eklentilerine kod enjekte etmeye odaklanıyor ve bu da saldırılarının etkinliğini daha da artırıyor.

Yük Uçuşa Geçiyor:

Parrot TDS, iniş komut dosyasının dört farklı versiyonuna dönüştü; her yineleme, giderek daha karmaşık hale gelen gizleme teknikleriyle gizlendi.

Basit ama etkili bir izinsiz giriş olan Sürüm 1, daha kurnaz torunları olan V2, V3 ve V4’ün yolunu açtı; bunların her biri, tespit edilmekten kaçınmak için tasarlanmış karmaşıklık katmanlarıyla donatılmıştır.

Açılış komut dosyasının ötesinde gerçek yük, yani son darbeyi indiren kötü amaçlı kod yatıyor.

Ndsx anahtar kelimesiyle tanımlanan bu komut dosyaları dokuz farklı versiyona sahiptir; V2 en üstündür ve gözlemlenen örneklerin %70’inden fazlasını oluşturur.

Görünüşte zararsız olan V1 muadilinin aksine, Parrot TDS yüklerinin çoğu tepeden tırnağa silahlandırılmıştır.

Kötü amaçlı URL’lerden komut dosyaları indirebilir, karmaşık gizleme ağları örebilir ve sonuçta çevrimiçi güvenliğinizi tehlikeye atabilirler.

Küresel Bir Sürü:

Parrot TDS bölgesel bir sıkıntı değildir; Bu küresel bir salgın.

Kurbanları farklı sektör ve milletlerden oluşuyor ve tek bir ortak noktada birleşiyor: WordPress ve Joomla gibi popüler içerik yönetim sistemlerindeki güvenlik açıkları.

Saldırganlar bu zayıflıklardan, bir yırtıcının açık bir kapı bulması, sunuculara sızması ve onları dijital oyunlarında farkında olmadan piyonlara dönüştürmesi gibi yararlanır.

Dikkat Parrot TDS’ye karşı paroladır.

Web sitesi yöneticileri, sunucularını ele veren anahtar kelimeler ve şüpheli kodlar için tarayan, şahin gözlü dedektifler haline gelmelidir.

Marcus Hutchins, Kötü Amaçlı Yazılım Analisti: “Parrot TDS’nin uyarlanabilirliği, gizleme tekniklerinden bağımsız olarak şüpheli kod modellerini ve anormallikleri tanımlayabilen yapay zeka destekli algılama sistemlerine olan ihtiyacı gösteriyor.”