Güvenlik araçlarını kapatma gibi tehlikeli bir yeteneğe sahip, Çinli kullanıcıları hedef alan yeni bir tehdit ortaya çıktı.
gh0st RAT’ın değiştirilmiş bir versiyonunu yayan çok aşamalı bir yükleyici olan RONINGLOADER, antivirüs korumasını atlatmak için akıllı hileler kullanır.
Kötü amaçlı yazılım, Google Chrome ve Microsoft Teams gibi meşru programlar gibi davranan sahte yazılım yükleyicileri aracılığıyla geliyor.
Bir sisteme girdikten sonra, Windows Defender’ı ve Qihoo 360 Total Security ve Huorong gibi popüler Çin güvenlik ürünlerini devre dışı bırakmak için çeşitli enfeksiyon katmanlarından geçerek çalışır.
Bu kampanya, saldırganların güvenlik savunmalarını aşma konusunda nasıl daha iyi hale geldiklerini gösteriyor. Kötü amaçlı yazılım, Windows’a meşru görünen ancak aslında güvenlik süreçlerini ortadan kaldırmasına yardımcı olan kendi imzalı sürücüsünü getiriyor.
Onu tehlikeli yapan şey, sahip olduğu çok sayıda yedekleme planıdır. Güvenliği devre dışı bırakmanın bir yöntemi başarısız olursa, birkaç başka yaklaşımı dener.
Bu, arkasındaki Dragon Breath APT grubunun önceki kampanyalardan ders aldığını ve yöntemlerini geliştirdiğini gösteriyor.
Elastic güvenlik analistleri, algılama sistemlerini izledikten sonra, Korumalı Süreç Işığının kötüye kullanımını tespit etmek için tasarlanmış bir davranış kuralı kullanarak bu kampanyayı belirledi.
Araştırma ekibi RONINGLOADER’ı sadece aylar önce kamuya açık olarak belgelenen bir teknik kullanarak buldu. Kötü amaçlı yazılım, önemli sistem işlemlerini korumayı amaçlayan bir Windows özelliğinden yararlanıyor ancak bunu Defender’ın kendisine karşı kullanıyor.
Saldırı Yöntemi ve Enfeksiyon Zinciri
Bulaşma, kurbanın sistemine birden fazla bileşeni bırakan truva atı haline getirilmiş bir NSIS yükleyicisiyle başlıyor. Birisi normal bir yazılım yükleyicisi olduğunu düşündüğü şeyi çalıştırdığında aslında iki ayrı yükleyiciyi etkinleştirir.
.webp)
Biri şüphe uyandırmamak için gerçek yazılımı yüklerken, ikincisi saldırı zincirini sessizce dağıtıyor.
Kötü amaçlı yazılım, C:\Program Files\Snieoatwtregoable\ konumunda bir dizin oluşturur ve iki dosyayı bırakır: Snieoatwtregoable.dll ve tp.png adlı şifrelenmiş bir dosya.
DLL dosyası, XOR şifrelemesini döndürme işlemiyle birleştiren basit ama etkili bir algoritma kullanarak tp.png’nin şifresini çözer: –
*encrypted_file_content = _ROR1_(*encrypted_file_content ^ xor_key[indx), 4);Şifre çözüldükten sonra kötü amaçlı yazılım, davranışını yakalayabilecek güvenlik kancalarını ortadan kaldırmak için yeni sistem kitaplıkları yükler. Daha sonra runas komutunu kullanarak ayrıcalıklarını yükseltir ve güvenlik yazılımını çalıştırmak için tarama yapar.
Kötü amaçlı yazılım, işlem adlarını kontrol ederek açıkça Microsoft Defender, Kingsoft Internet Security, Tencent PC Manager ve Qihoo 360 Total Security’yi arar.
RONINGLOADER, bu süreçleri sonlandırmak için Kunming Wuqi E-commerce Co., Ltd. tarafından dijital olarak imzalanmış ollama.sys adlı imzalı bir sürücüyü kullanıyor.
Sürücü, bir işlem kimliğini kabul eden ve bunu normal güvenlik araçlarının engelleyemeyeceği çekirdek düzeyindeki API’leri kullanarak sonlandıran tek bir işlevi kaydeder.
Kötü amaçlı yazılım bu sürücüyü diske yazar, yüklemek için geçici bir hizmet oluşturur, sonlandırma komutunu gönderir ve hizmeti hemen siler.
Qihoo 360 için kötü amaçlı yazılım, Birim Gölge Kopyası hizmet sürecine kod eklemeden önce güvenlik duvarı kuralları aracılığıyla tüm ağ bağlantılarını engelleyerek ekstra adımlar atıyor.
Bu enjeksiyon, dosya yazma tetikleyicileri olan Windows iş parçacığı havuzlarını kullanır; bu, algılamayı engellemeye yardımcı olan bir tekniktir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
