Trend Micro araştırmacıları, telekomünikasyon hizmet sağlayıcılarına ve devlet ağlarına yönelik son saldırılarda Raspberry Robin’i fark etti. Raspberry Robin kötü amaçlı yazılımı, korumalı alanlarda ve hata ayıklama araçlarında çalıştırıldığını algıladığında artık tespit edilmekten kaçınmak için sahte bir yük bırakıyor.
Araştırmacılar, of.lnk dosyalarının kullanılması nedeniyle, virüslü bir USB aracılığıyla sistemler arasında solucan benzeri bir şekilde yayıldığını söylüyor.
Trend Micro, “Kötü amaçlı yazılımın, gizleme için birden çok katman aracılığıyla gizlenme yeteneğinin yanı sıra, rutin sistem korumalı alan oluşturma ve analiz çözümlerini algıladığında sahte bir yük sağlama özelliğinin olduğunu kaydettik”.
Grubun kurbanlarının çoğu Avrupa, Okyanusya (Avustralya) ve Latin Amerika’daki telekom şirketleri veya hükümetlerdir.
Raspberry Robin Enfeksiyon Rutini
Raspberry Robin, kullanıcı virüslü USB’yi bilgisayara taktığında ilk olarak bir kısayol veya LNK dosyası olarak görünür. LNK dosyasındaki bir komut satırı, bir Windows Installer (MSI) paketini indirmek için geçerli bir yürütülebilir dosyayı başlatır.
Bir sonrakinin şifresini çözmek için sabit kodlanmış değerler içeren birden çok katman içeren, kodu gizlemek için farklı teknikler kullanılır.
Bir cihazda nasıl kullanıldığına bağlı olarak, Raspberry Robin iki ayrı yük düşürmeye başladı. Kötü amaçlı yazılım bir sanal alanda çalıştığını fark ederse, muhtemelen incelendiğinin sinyalini verirse, yükleyici sahte bir yük dağıtır. Aksi takdirde, gerçek Raspberry Robin kötü amaçlı yazılımı başlatılacaktır.
Bu durumda, bu yanlış yüke iki ek katman eklenir: gömülü PE dosyası olan bir kabuk kodu ve MZ başlığı veya PE imzası olmayan bir PE dosyası.
Yürütmenin ardından, temel sistem verilerini toplamaya başlamadan önce Windows kayıt defterini bulaşma göstergelerini aramak için taramaya çalışır. Sahte yük daha sonra “BrowserAssistant” adlı bir reklam yazılımı programını indirmeye ve çalıştırmaya çalışır.
Araştırmacılar, “Kendisinin bir kopyasını bıraktıktan sonra, bırakılan kopyayı bir UAC (Kullanıcı Hesabı Denetimi) baypas tekniği kullanarak Yönetici olarak çalıştırır”, araştırmacılar
“UACMe’de ucmDccwCOMMethod tekniğinin bir varyasyonunu uygulayarak yerleşik Windows AutoElevate arka kapısını kötüye kullanıyor”.
Son söz
Kötü amaçlı yazılım, çeşitli analiz önleme taktikleri kullanır, ancak çekirdek yükü yoğun bir şekilde katmanlıdır ve araştırma gerektirir. Araştırmacılar, sonuç olarak, acemi bir analistin yalnızca yanlış yükü keşfedeceği sonucuna varıyor.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin