
Siber güvenlik araştırmacıları, Pure Crypter olarak bilinen ve Windows 11 24H2’de tanıtılan gelişmiş güvenlik önlemlerini hedeflemek ve atlamak için gelişen sofistike bir kötü amaçlı yazılım krykorunu ortaya çıkardılar.
Bu gelişmiş kötü amaçlı yazılım ambalaj aracı, tehdit aktörleri ve işletim sistemi güvenlik geliştirmeleri arasındaki devam eden kedi ve fare oyununda önemli bir artışı temsil eder ve kötü niyetli aktörlerin yeni savunma mekanizmalarına ne kadar hızlı uyum sağladığını gösterir.
Pure Crypter, modern güvenlik çözümleri tarafından tespitten kaçınırken başarılı bir yük yürütmesini sağlamak için birden fazla kaçırma tekniğini birleştiren kapsamlı bir kötü amaçlı yazılım dağıtım platformu olarak işlev görür.
.webp)
Crypter, kötü amaçlı yazılımların enfekte sistemlerde bir dayanak sürdürmesine izin veren, dinamik bağlantı kütüphanesi (DLL) kankası, yürütme gecikmeleri ve sofistike kalıcılık mekanizmaları dahil olmak üzere, anti-analiz ve anti-algılama yöntemleri cephaneliği kullanır.
Esentir analistleri, tehdit avcılık operasyonları sırasında bu kötü amaçlı yazılımları belirlediler ve Pure Crypter’ın 24H2 olarak da bilinen Windows 11 Build 26100’de uygulanan güvenlik iyileştirmelerine karşı koymak için özel olarak tasarlanmış önemli güncellemeler geçirdiğini belirtti.
Araştırmacılar, kötü amaçlı yazılım yazarlarının Ocak 2025’te işletim sistemindeki bazı enjeksiyon tekniklerinin etkili bir şekilde çalışmasını engelleyen değişiklikleri ele almak için yeni işlevler eklediklerini gözlemlediler.
Pure Crypter’ın etkisi, tehdit aktörlerinin gizli ve kalıcılığı korurken fidye yazılımı, bilgi çalanlar ve uzaktan erişim Truva atları dahil olmak üzere çeşitli kötü amaçlı yükler kullanmalarını sağladığı için geleneksel kötü amaçlı yazılım sunumunun ötesine uzanır.
.webp)
Crypter’ın modüler tasarımı, siber suçluların saldırılarını belirli hedeflere ve operasyonel gereksinimlere göre özelleştirmelerini sağlar ve bu da onu modern tehdit manzarasında çok yönlü bir araç haline getirir.
Windows 11 24H2 için Gelişmiş İşlem Enjeksiyon Teknikleri
Pure Crypter’ın en dikkat çekici yeniliklerinden biri, Windows 11 24H2’de, özellikle proses oyma teknikleri ile ilgili güvenlik geliştirmelerinin üstesinden gelmek için adaptasyonunda yatmaktadır.
.webp)
Kötü amaçlı yazılım geliştiricileri, geleneksel süreç enjeksiyon yöntemlerinin yeni işletim sistemi oluşturulması tarafından engellendiğini ve özellikle NTManageHotpatch API’sını hedefleyen sofistike bir çözüm uyguladığını fark ettiler.
.webp)
Crypter ilk olarak, hedef makinenin “yazılım \ microsoft \ windows nt \ currentVersion” kayıt defteri tuşunu sorgulayarak ve currentbuild değerini karşılaştırarak Windows 11 Build 26100 veya daha yeni çalıştırıp çalıştırmadığını belirlemek için bir sistem kontrolü gerçekleştirir.
Sistem 24H2 veya daha sonra tanımlanırsa, Pure Crypter, yeni güvenlik kısıtlamalarını atlamak için NTManageHotpatch işlevini değiştiren bir bellek yama rutini başlatır.
Yama işlemi, API’nın koruyucu mekanizmalarını etkili bir şekilde nötralize eden belleğe spesifik bayt dizileri yazmayı içerir. 64 bit sistemler için kötü amaçlı yazılım “184, 187, 0, 0, 192, 195” baytlarını yazarken, 32 bit sistem “184, 187, 0, 0, 192, 194, 16, 0” alır.
Bu teknik, VirtualProtectex kullanarak bellek izinlerinin değiştirilmesi, yama baytlarını WriteProcessMemory ile yazma ve değişikliklerin yürürlüğe girmesini sağlamak için talimat önbelleğinin yıkanması da dahil olmak üzere dikkatli bellek yönetimi gerektirir.
Uygulama, Windows iç kısımlarının derin bir anlaşılmasını göstermektedir ve kötü amaçlı yazılım kaçakçılığı tekniklerinde önemli bir evrimi temsil etmektedir.
Ntmanagehotpatch başarılı bir şekilde yama yaparak Pure Crypter, RunPE (Process Holling) işlevselliğinin en son Windows 11 yapılarında çalışmasını sağlar, bu da tehdit aktörlerinin meşru süreçlere kötü amaçlı kod enjekte etmesine ve süreç oluşturma ve bellek tahsisi modellerinin davranışsal analizine dayanan güvenlik çözümleri tarafından tespitten kaçmasına izin verir.
9 yılını kutlayın. Run! Tam gücünün kilidini açmak TI Arama Planı (100/300/600/1.000+ arama istekleri) ve istek kotanız iki katına çıkacaktır.