PureHVNC Uzaktan Yönetim Aracı (SIR), Saf kötü amaçlı yazılım ailesinin sofistike bir bileşeni olarak ortaya çıkmış ve hedeflenen saldırı kampanyalarında bir artışla 2015 ortalarında önem kazanmıştır.
Yeraltı forumlarından ve telgraf kanallarından gelen PurEhvnc, Purecoder olarak bilinen yazarı tarafından Purecrypter, Purelogs ve PureMiner gibi eşlik eden araçların yanında pazarlanmaktadır.
Siber suçlu müşteriler tarafından benimsenmesi, gizli tam sistem kontrolü ve veri açığa çıkabilen modüler kötü amaçlı yazılım süitlerine yönelik artan bir talebi yansıtmaktadır.
İlk dağıtımlar, ClickFix kimlik avı tekniğinden yararlandı, kurbanları kötü amaçlı komut dosyaları yürütmek için sahte iş teklifleri ile cezbetti ve çok aşamalı müdahaleler için zemin hazırladı.
Dikkate değer bir olayda, saldırganlar bir pas yükleyici, ardından PurEhvnc sıçan ve sekiz günlük bir pencerenin üzerindeki Sliver komuta ve kontrol çerçevesi uyguladılar.
Check Point analistleri, bu kampanya sırasında PurEHVNC’nin, destekleme modüllerini barındıran üç GitHub URL’si almak için kontrol sunucusuyla iletişim kurduğunu ve geliştiricinin kötü amaçlı operasyonel altyapısındaki kendi GitHub hesaplarını doğrudan etkilediğini belirtti.
Bu GitHub depoları, kötü amaçlı yazılım destek dosyaları için alışılmadık bir geliştirici kaynaklı tedarik zincirini gösteren TwitchBot ve YouTubeBot işlevleri için gerekli olan tarayıcı sürücü yürütülebilir ürünleri ve eklenti dosyaları içeriyordu.
İlk sızma taktiklerinin ötesinde PurEHVNC, kalıcılık ve ayrıcalık artışı için gelişmiş yetenekler gösterir.
Yürütme üzerine, sıçan, yeniden başlatmalarda esneklik sağlayarak meşru Google Updater hizmetlerini taklit etmek için adlandırılan planlanmış görevler aracılığıyla kendisini kaydeder.
.webp)
İdari ayrıcalıklar olmadan çalışıyorsanız, PowerShell’i kullanarak bir UAC Yükseklik Döngüsü ister:-
while ($true) {
Start-Process -FilePath cmd[.]exe -Verb runas -ArgumentList 'regsvr32[.]exe MALWARE[.]dll --typerenderer'
exit
}Yükselen yükseltildikten sonra, bir muteks oluşturur (MistyRoseNavy) yinelenmeyi önlemek ve bir dakikalık tekrar aralığına sahip planlanmış bir görev oluşturur.
.webp)
Bu yaklaşım, bir LDRloadDLL kancası yoluyla AMSI baypas ile birleştiğinde, PurEHVNC’nin uç noktanın kontrolünü korurken gerçek zamanlı savunmalarla tespit edilmesine izin verir.
Enfeksiyon mekanizması
PurEhvnc’nin ilk yükleyicisi, pas yükleyici kabuk kodu tarafından verilen bir .NET derlemesidir. Yükleyici, yükünü Chacha20-Poly1305 kullanarak şifresini çözer, yük boyutunu 1 kb eşiğine göre doğrular ve şifre çözülmüş .NET düzeneğini barındırmak için yürütülebilir bellek tahsis eder.
Gömülü düzenek daha sonra yüklenir ve uygulanır, sıçanın ana döngüsünü başlatır. İletişim, botun GZIP ile sıkıştırılmış sistem bilgilerini-işletim sistemi sürümü, yüklü antivirüs ürünleri ve meta veri benzeri kampanya kimliği gibi C2 sunucusuna gönderdiği SSL akışları üzerinde kurulur.
Gelen komutlar, sıkıştırılmış tamponlar olarak alınır, dekompize edilmiş, serileştirilir ve yürütme için eklenti iş parçacıklarına gönderilir.
PureHVNC, yük dağıtımını bölümlere ayırarak ve şifreleme ve sıkıştırma kullanarak statik imza tespitinden kaçınır ve ağ tabanlı keşfi karmaşıklaştırır ve gizli enfeksiyon mekanizmasının altını çizer.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free