Quasar gibi uzaktan erişim Trojanları (sıçanlar) yıllardır kalıcı bir tehdit olmuştur ve saldırganların enfekte olmuş sistemleri uzaktan kontrol etmesini sağlar.
Son SANS Research, güçlü gizleme ve yenilikçi bir sandbox karşıtı tekniği ile karakterize edilen yeni ve özellikle gizli bir Quasar kampanyasını ortaya çıkardı.
Enfeksiyon, görünüşte zararsız bir belgeye bağlı bir parti (.bat) komut dosyası ile başlar. Yürütüldüğünde, bu komut dosyası, uzak bir sunucudan gizlenmiş bir ikinci aşamalı toplu iş dosyasını sessizce indirirken şüpheyi düşürmek için bir tuzak ofis dosyası açar.
.png
)
SANS araştırmacılarının analizi, bu ikincil dosyanın yoğun bir şekilde gizlendiğini ortaya koydu:
- Rastgele isimlerle çok sayıda ortam değişkeni kullanır.
- “Goto” ifadeleri yürütme yolunu kafa karıştırıcı hale getirir.
- Kod analizini engellemek için rastgele yorumlar ve önemsiz talimatlarla büyük bölümler parçalanmıştır.
Quasar Rat’ı dağıtmak için yarasa dosyaları
Bu kampanyadaki en dikkat çekici özellik, sanal alan kaçırmasıdır. Çekirdek yükünü teslim etmeden önce, kötü amaçlı yazılım sistemde ne tür sabit disk olduğunu kontrol eder.
Kötü amaçlı yazılım analistleri ve kum havuzları (“qemu harddisk” gibi) tarafından yaygın olarak kullanılan sanal sürücüleri tespit ederse, komut dosyası otomatik olarak kendini öldürür ve otomatik analizi çok daha zor hale getirir.
Araştırmacılar, güvenlik araştırmacılarının soruşturmalarını bozmak için bu özel tekniği ilk kez gördü – diskin “dostça adı” değerini kontrol ediyor.
Kaçma kontrollerini geçtikten sonra, kötü amaçlı yazılım ana hedefine ulaşır:
- Aslında şifreli kötü amaçlı kod içeren bir resim dosyasını (.png) sessizce indirir.
- Daha da gizlenmiş kodda gizlenmiş özel bir PowerShell komutu, görüntüdeki bilgileri çözer ve çözer.
- Daha sonra şifre çözülmüş kod, doğrudan sistem belleğine enjekte edilir ve diske dokunmadan geleneksel antivirüsün tespit etmesi zor bir şekilde çalışır.
Erişimi sürdürmek için, kötü amaçlı yazılım, düzenli aralıklarla çalışmasını sağlayarak kalıcılık için planlanmış bir görev oluşturur.
Uzak sunucusu ile iletişim, bağlantı noktası yönlendirme kullanan bir adresle yönetilir ve ağ savunmalarından gizli kalma yeteneğini artırır.
Savunma önerileri
- PowerShell ve Toplu Dosyaların Şüpheli Kullanımı için Monitörözellikle olağandışı şekillerde zincirleyenler.
- Disk meta veri kontrollerini inceleyin—Secitate yazılımı nadiren fiziksel disk adlarını kontrol ederek bunu algılama araçları için olası bir kırmızı bayrak haline getirir.
- Bilinen C2 Altyapı ve Dosya-Host Hizmetleri Blok Listesi kampanyada atıfta bulunuldu.
- Davranışsal Tespit benimseyin: Proses enjeksiyonunu, görüntülerde şifrelenmiş yüklerin kullanımı ve planlanan görevler yoluyla kalıcılığı arayın.
Quasar Rat’ın bu yeniden canlanması, saldırganların eski araçları modern kaçırma ve gizleme stratejileri ile nasıl geliştirdiklerini ve hem uyanık izleme hem de ileri davranışsal tehdit tespiti ihtiyacını vurguladığını gösteriyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin