PlugX kötü amaçlı yazılımı, antivirüs programları tarafından tespit edilmekten kaçınmak için aşağıdaki teknikleri kullandığından, güvenlik önlemlerinin varlığını tespit etmesini ve azaltmasını zorlaştırdığından, kaçırma konusunda gelişmiş bir yazılımdır: –
- Polimorfik kodlama
- Rootkit işlevleri
- Şifreleme
Bu nedenle PlugX kötü amaçlı yazılımı, sürekli gelişen siber güvenlik tehditleri ortamında zorlu ve kaçamak bir kötü amaçlı yazılım olarak öne çıkıyor.
Gelişmiş yetenekleriyle aşağıdakilerle işaretlenmiş bir geçmişe sahiptir: –
- Siber casusluk
- Hedefli saldırılar
- Güvenlik uzmanlarıyla devam eden bir savaş
Splunk’taki siber güvenlik araştırmacıları yakın zamanda PlugX kötü amaçlı yazılımının kullandığı tüm karmaşık kaçırma tekniklerinin maskesini düşürdü.
Teknik Analiz
PlugX varyantı, öncekiler gibi, kötü amaçlı kod yürütmek için ‘msbtc.exe’ aracılığıyla ‘version.dll’ dosyasını yükler. Bu arada ‘msbtc.dat’ şifresinin çözülmesi, ‘VerQueryValueW’ fonksiyonundaki RC4 algoritmasını kullanan ‘Version.DLL’ ile başlıyor.
Bundan sonra, başarılı şifre çözme, son yük sıkıştırmasını açmak için kritik başlıkları etkinleştirir.
Kötü amaçlı yazılım, araştırmacıların çıkarma aracında XOR ve temel matematik ile ikinci bir şifre çözme katmanına ilerliyor. Dönüşümler, ‘RtlDecompressBuffer()’ API’si ile paketi açılmış sıkıştırılmış katmanı oluşturur.
‘msbtc.cfg’ şifre çözme ‘msbtc.dat’tan farklıdır. Verimlilik için ‘Version.DLL’ ile aynı anahtarı ve RC4 algoritmasını kullanır. Bir Python aracı olan plugx_extractor.py, ayıklamayı otomatikleştirir, analizi basitleştirir ve güvenlik profesyonellerini güçlendirir.
PlugX, ‘msbtc.dat’ın şifresini çözer, dağıtılmış işlemleri yöneten bir Windows hizmeti olan ‘msdtc.exe’ye enjekte eder ve aşağıdakileri yapar: –
- C2 sunucusuyla iletişim kurar.
- Ana bilgisayar bilgilerini alır.
- Ağ ayrıntıları için ipinfo.io’yu sorgular.
- 7777 gibi belirli bir bağlantı noktasında gizli iletişim için “Microsoft Edge” güvenlik duvarı kuralını ekler.
- Gizli çalışma için ana bilgisayar ayarlarını yönetir.
- Kalıcılık ve yükseltilmiş ayrıcalıklar için ‘msbtc.exe’ye bir hizmet yükler.
Aşağıdaki iki temel işlevi gerçekleştirmek için bu hizmet yapılandırılmıştır: –
- Otomatik Şifre Çözme
- Dinamik Yük Yükleme
PlugX’in ilk aşaması, sorunsuz yeniden kurulum için geçmiş izleri siler ve temel bileşenleri “%programdata%\MSB” içine bırakır.
Faaliyetleri gizleyen “explorer.exe” aracılığıyla kullanıcının kimliğine bürünerek ayrıcalık yükseltme kazanır. Kötü amaçlı yazılım, C2 sunucusuna sızmak için verileri gizli bir şekilde “%ALLUSERPROFILE%\MSB\kl” dosyasında depolayan tuş günlüğü tutma özelliğine sahiptir.
IOC’ler