Siber güvenlik uzmanları, çok aşamalı bir kötü amaçlı yazılım bulaşma sürecine bağlı, yalnızca belleğe yönelik yeni ve karmaşık bir dropper’ı ayrıntılı olarak açıkladı. PEAKLIGHT olarak adlandırılan bu dropper, gizli operasyonları ve karmaşık saldırı zinciri nedeniyle büyük bir tehdit oluşturuyor.
PEAKLIGHT, diskte iz bırakmadan ve çeşitli karartma teknikleriyle çalıştığı için tespiti oldukça zordur.
Korsan Filmlerden Kötü Amaçlı Yüklere
Enfeksiyon, kullanıcıların aslında sadece kötü amaçlı ZIP dosyaları olan ve enfeksiyonu başlatmak için Microsoft Kısayol Dosyaları (LNK) içeren korsan film dosyalarını indirmesiyle başlıyor.
Bu LNK dosyaları, uzak bir sunucudan ek kötü amaçlı içerik indiren bir PowerShell betiğini tetikler. Mandiant’ın araştırmasına göre, enfeksiyon zinciri kullanılan PowerShell betiklerinde iki varyasyon ortaya çıkarır ve saldırganların güvenilir sistem süreçlerini kullanarak geleneksel güvenlik önlemlerini aşma becerisini gösterir.
- Yükleri indirmek ve yürütmek için meşru sistem ikili dosyalarını kullanma
- Aynı amaçla kayıt sorgulamaları da kullanılabilir.
İlk enfeksiyon kurulduktan sonra PEAKLIGHT, kurbanın sistem belleğinde gizlenmiş JavaScript tabanlı bir dropper’ın son indiriciyi kodunu çözüp çalıştırdığı ikinci aşamasına geçer. PEAKLIGHT olarak bilinen bu indirici, her biri farklı özelliklere sahip ancak ortak bir amaca sahip iki temel varyasyonda çalışır: bir içerik dağıtım ağından (CDN) ek kötü amaçlı dosyalar indirmek.
PEAKLIGHT Çeşitleri
PEAKLIGHT’ın karmaşıklığı, sabit kodlu dosya yollarındaki belirli ZIP arşivlerini kontrol etme yeteneğinde yatmaktadır. Eğer yoksa, bunları bir içerik dağıtım ağından (CDN) indirir. Kötü amaçlı yazılımın LUMMAC.V2, SHADOWADDER ve CRYPTBOT dahil olmak üzere çeşitli yükleri indirdiği gözlemlenmiştir.
Her biri hedef dizinler, yürütme mantığı ve indirilen dosya adları gibi farklı davranışlara sahip farklı PEAKLIGHT varyasyonları mevcuttur. Bu varyasyonlar, yüklerinin gerçek doğasını gizlemek için onaltılık ve Base64 kodlaması gibi karmaşık karartma teknikleri kullanır.
PEAKLIGHT Varyasyon 1:
- Dosyaları AppData dizinine indirir
- Dosyaları adlarına göre yürütür
- Etkinliği maskelemek için bir sahte video dosyası indirir
PEAKLIGHT Varyasyonu 2:
- ProgramData dizinini hedefler
- Dosyaları keşif sırasına göre yürütür
PEAKLIGHT Varyasyon 3:
- Farklı bir etki alanından yükleri alır
- AutoIt ikili dosyaları da dahil olmak üzere ek kötü amaçlı dosyaları düşürür
PEAKLIGHT’a Karşı Koruma
PEAKLIGHT tehditlerini azaltmak için araştırmacılar aşağıdaki eylemleri öneriyor:
- Ortamınızı potansiyel tehlike göstergelerine (IOC) ve YARA kurallarına göre tarayın.
- Kötü amaçlı faaliyetleri tespit etmek ve engellemek için güvenlik yazılımlarınızı güncel tutun.
- Özellikle korsan içerik vaat eden şüpheli e-postalara ve eklere karşı dikkatli olun.
- Güvenli gezinme alışkanlıkları edinin ve bilmediğiniz bağlantılara tıklamaktan kaçının.
PEAKLIGHT’ın keşfi, tespit edilmekten kaçınmak için yalnızca bellek kullanan tekniklerin ne kadar etkili olduğunun yanı sıra, görünüşte zararsız korsan içerikler ve güvenilir sistem süreçlerinin kötüye kullanılması yoluyla kötü amaçlı yüklerin yaygınlaşmasının güçlü bir örneğidir.