Ragnar Locker Ransomware Group ile ilişkili sofistike bir araç seti olan Ragnar Loader, 2020’de ortaya çıkmasından bu yana kuruluşlar üzerindeki hedeflenen siber saldırıları kolaylaştırmada etkili olmuştur.
Bu kötü amaçlı yazılım, Canavar Mantis fidye yazılımı ekosisteminin bir parçasıdır ve uzlaşmış sistemlere kalıcı erişimi korumak için tasarlanmıştır, bu da sürekli kötü amaçlı operasyonlar sağlar.
Ragnar Loader, çok katmanlı gizleme, dinamik şifre çözme rutinleri ve operasyonel esnekliği korumak için sofistike kalıcılık mekanizmaları gibi gelişmiş taktikleri kullanır.
Ragnar Loader Toolkit, uzak masaüstü işlevselliği için PowerShell komut dosyaları, ağlardaki yan hareket için dönen bir komut dosyası ve bir uzak kod yürütme komut dosyası gibi birkaç kritik bileşen içerir.
Catalyst raporuna göre, bu komut dosyaları ikili dosyaların yüklenmesini ve hedef sistemlerde proses enjeksiyon tekniklerinin yürütülmesini kolaylaştırmak için kasten gizlenmiştir.
Örneğin, runscheduledtask.ps1 komut dosyası, söz konusu kalıcılık elde etmek için WMI filtreleri kullanır ve kötü amaçlı yazılımların uzlaşmış sistemlerdeki varlığını korumak için belirli aralıklarla çalışan filtreler oluşturur.
Teknik analiz ve kaçınma teknikleri
Ragnar Loader’ın teknik gücü, operasyonlarını gizlemek için RC4 ve Base64 dahil olmak üzere güçlü şifreleme ve kodlama yöntemlerinden yararlanma yeteneğinde yatmaktadır.
Meydan okulu sistemler üzerinde gizli kontrol oluşturmak için sofistike süreç enjeksiyon stratejileri kullanır.
Kötü amaçlı yazılım, bayt dizilerini önce bunları sıkıştırarak ve daha sonra RC4 şifre çözme uygulayarak şifresini çözen bir .NET yükleyici kullanır.
Yürütme, kendi kendini değiştiren davranış sergileyen ve anti-analiz tekniklerini tespit ve analizi engellemek için entegre eden Shellcode’a teslim edilir.
Shellcode, çalışma zamanı sırasında dizelerin dinamik olarak şifresini çözer ve mantığı belirsiz hale getirmek için kritik fonksiyonların kontrol akışını kasıtlı olarak düzleştirir.
Bu önlemlere rağmen, Floss ve D810 gibi araçlar bu gizlemeleri etkili bir şekilde atlayabilir, bu da analistlerin yığın dizelerini bozmalarına ve orijinal kontrol akışını geri yüklemelerine izin verebilir.
Arka kapı, DLL eklentilerini yükleme, kabuk kodunu yürütme ve dosya içeriğini ekspiltratlama dahil olmak üzere komut ve kontrol sunucusundan birden fazla komut kabul edebilir.
Etki ve kalıcılık
Ragnar Loader’ın kalıcılık mekanizmaları özellikle dikkat çekicidir.
Geri ihlal edilen sistemlerde sürekli çalışmayı sağlamak için planlanan görevleri ve WMI filtrelerini kullanır.
Kötü amaçlı yazılım, yükünü gizli ve kaçınma özelliklerini artırmak için wMiprvse.exe gibi meşru pencereler süreçlerine enjekte eder.
Bu yaklaşım, Ragnar Loader’ın hedefli ortamlarda uzun vadeli bir dayanak tutmasına izin vererek geleneksel güvenlik savunmalarına ve tespit yöntemlerinde önemli zorluklar yaratmasına izin verir.
Sonuç olarak, Ragnar Loader tespiti atlamak ve tehlikeye atılan sistemlerde operasyonel esnekliği sürdürmek isteyen birden fazla fidye yazılımı grubu için kritik bir araç haline gelmiştir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.