Roshtyak olarak da bilinen Ahududu Robin kötü amaçlı yazılımları, Windows sistemlerindeki kaçırma ve kalıcılığını artıran önemli güncellemeler geçirdi.
2021’den beri aktif ve öncelikle enfekte USB cihazları aracılığıyla yayılan bu sofistike indirici, ters mühendislik çabalarını engellemek için gelişmiş gizleme tekniklerini entegre etmiştir.
Şifreleme taktikleri
Zscaler’ın tehditindeki araştırmacılar, düzleştirilmiş kontrol akışı içeren fonksiyonlar içinde çok sayıda başlatma döngüsü eklenmesini gözlemlediler, bu da gereksiz önemsiz kodlar getiriyor ve kaba kuvvet şifre çözme girişimlerini karmaşıklaştırıyor.
Bu modifikasyon geleneksel analiz yöntemlerini daha az verimli hale getirir, çünkü döngüler anahtar kurtarma için gereken hesaplama yükünü şişirerek çekirdek mantığı gizler.
Ayrıca, kötü amaçlı yazılım artık IDA Pro gibi ayrışma araçlarını bozan, analistler yığın çerçevelerini manuel olarak ayarlamadığı için genellikle başarısız işlev rekonstrüksiyonlarına neden olan gizlenmiş yığın işaretçileri kullanıyor.
Koşullu ifadeler de gizlenmiştir, karar verme süreçlerini maskeleyen ve statik kod analizini engelleyen karmaşık mantığı yerleştirerek, böylece kötü amaçlı yazılımların davranışını çözmek için gereken süreyi uzatır.
Ağ iletişimi için önceki AES-CTR şifrelemesinden değişen Raspberry Robin, istek başına rastgele sayaç ve nonce değerleri üretirken sert kodlanmış 32 bayt anahtar kullanarak ChaCha-20 algoritmasını benimsedi.
Bu öğeler, şifrelenmiş bir formatta şifrelenmiş yüke, nonce parçaları ve sayaçlar için alanlar da dahil olmak üzere, desen bazlı algılama değişkenliği ve direnç sağlayarak hazırlanır.
RC4 anahtar mekanizması, hazırlanmış olmak yerine şimdi 8 baytlık rastgele bir tohum eklenmiş ve örnekler ve kampanyalar arasında değişen sert kodlanmış anahtar segmentler ile rafine edilmiştir.
Ek olarak, CRC-64 sağlama toplamı algoritması yapısını korur, ancak randomize başlangıç değerlerini içerir ve her bir örneği imza tabanlı savunmalardan kaçınmak için daha da özelleştirir.
Ayrıcalık artışının entegrasyonu
Raspberry Robin’in cephaneliğinde kritik bir gelişme, Windows Ortak Günlük Dosya Sistemi (CLFS) sürücüsünde bir güvenlik açığı olan CVE-2024-38196’yı hedefleyen yeni bir yerel ayrıcalık yükseltme (LPE) istismarının dahil edilmesidir.
Bu istismar, kötü amaçlı yazılımların tehlike altına alınmış sistemler üzerindeki ayrıcalıkları yükseltmesine izin vererek, kullanıcı etkileşimine güvenmeden daha derin yerleşim ve hassas kaynaklara erişim sağlar.
Bu kusurdan yararlanarak, Raspberry Robin standart güvenlik kontrollerini atlayabilir ve yüksek bağlamlarda ikincil yüklerin dağıtılmasını kolaylaştırabilir.
Bunu tamamlayan kötü amaçlı yazılım, numune veya kampanya başına değişen sert kodlanmış bir algoritma yoluyla dinamik olarak düzeltilen komut ve kontrol (C2) sunucuları için kasıtlı olarak bozulmuş Tor soğan alanlarını yerleştirir.
Bu yaklaşım sadece IOC ekstraksiyonunu gizlemekle kalmaz, aynı zamanda ağ adli tıplarını da karmaşıklaştırır, çünkü analistler aktif C2 uç noktalarını tanımlamak için düzeltme mantığını tersine çevirmelidir.
Ek iyileştirmeler arasında ikili olarak sona erme tarihlerinin sokulması, yürütmeyi numune başına bir haftalık bir pencere ile sınırlandıran ve bu da uzun süreli analize maruz kalmayı en aza indirir.
Çekirdek ve TOR bileşenleri arasındaki modüller arası iletişim, artık randomize ofsetlere sahip değişken bellek eşlemeleri kullanıyor ve başka bir öngörülemezlik katmanı ekliyor.
Önceki açıklamalardan kısa bir süre sonra uygulanan bu evrimler, Ahududu Robin’in uyarlanabilir doğasının altını çizerek, sınırlı kamu incelemesine rağmen kalıcı bir tehdit haline getiriyor.
Zscaler’ın bulut güvenlik platformu, win32.worm.raspberryrobin gibi kum havuzu ve tehdit adlandırma yoluyla sağlam bir algılama sağlar ve birden çok katmandaki göstergeleri vurgular.
Raspberry Robin tekniklerini geliştirmeye devam ettikçe, güvenlik ekipleri bu gelişen indiriciye karşı koymak için dinamik analize ve davranış izlemeye öncelik vermelidir.
Uzlaşma Göstergeleri (IOCS)
| SHA256 | Tanım |
|---|---|
| 5b0476043da365be5325260f1f0811e81c018a8Acc9cee4cd46cb7348c06fc6 | Ahududu Robin Dll |
| 05C6F53118D363E80989EF37CAD85E1C3B0E2D5DCEBD8A6D6A396A94CB65 | Ahududu Robin Dll |
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!