Saf Kötü Amaçlı Yazılım Araçları, Meşru Yazılım Kılığına Giriyor


Saf Kötü Amaçlı Yazılım Araçları

Son zamanlarda ANY.RUN’daki güvenlik analistleri keşfetti Pure kötü amaçlı yazılım araçlarının, tespit edilmekten kaçınmak için meşru yazılım kılığına girdiğini söyledi.

ANY.RUN, SOC ve DFIR ekipleri için kötü amaçlı yazılım analizinin ağır yükünü üstlenen bir bulut kötü amaçlı yazılım korumalı alanıdır. Her gün 300.000 profesyonel, olayları araştırmak ve tehdit analizini kolaylaştırmak için ANY.RUN platformunu kullanıyor. Bir güvenlik araştırmacısı veya analistiyseniz 14 günlük bir süre talep edebilirsiniz. Any.RUN Enterprise planına ücretsiz erişim.

PureCoder ürünleri, geliştiricinin eski web sitesine göre ilk olarak Mart 2021’de dağıtıldı.

Mevcut Pure sitesi yazılımın yalnızca eğitim ve test amaçlı olduğunu iddia etse de gözlemlenen eğilim, kodun çeşitli yasa dışı amaçlarla da kullanıldığını gösteriyor.

Mart 2023’ten bu yana yayınlanan Pure güncellemelerinde Telegram bot satışlarından bahsediliyordu.

Botlar, kötü amaçlı yazılım satın alımlarını otomatikleştirip anonimleştirirken, yazar da hizmeti genişletiyor, yeni kanallar keşfediyor ve bot kullanımı yoluyla ölçeği artırıyor.

Son zamanlarda 4. ÇeyrekANY.RUN, 98.500’den fazla kötü amaçlı örnekte T1036.005’in kullanıldığını keşfetti. En üstte ne olduğunu görebilirsin kötü amaçlı yazılım aileleriSaldırganların 2023’te kullandıkları Türler, Taktikler, Teknikler ve Prosedürler (TTP’ler), bize 2024’te neler bekleyebileceğimizi anlatabilir.

Belge

ANY.RUN ile Alışveriş Amaçlı Kötü Amaçlı Yazılımları Analiz Edin

300.000’den fazla analist ANY.RUN’u kullanıyor, dünya çapında bir kötü amaçlı yazılım analiz sanal alanıdır. En önemli tehditlere ilişkin derinlemesine araştırmalar yürütmek ve davranışlarına ilişkin ayrıntılı raporlar toplamak için topluluğa katılın.


Aşağıda, tespitleri atlatmak için yasal yazılım görünümüne bürünen tüm Pure kötü amaçlı yazılım araçlarından bahsettik:

  • PureCrypter: Veri gizleme ve şifreleme algoritmaları uygulayan bir şifreleyicidir. Bu, kötü amaçlı yazılımları AV araçlarından gizler ve araştırmacılar için analizi zorlaştırır.
PureCrypter davranış akışı
PureCrypter davranış akışı (Kaynak – Any.Run)
  • PureLogs Yükleyici: NET Reactor korumalı bir yükleyici aracılığıyla sıklıkla dağıtılan ve verileri çalmak için küçük bir kitaplık kullanan kötü amaçlı yazılımdır. C2 sunucusu, yükleyicinin kitaplığı edindiği yerdir.
PureLogs Yükleyici
PureLogs Yükleyici (Kaynak – Any.Run)
  • PureLog’lar: Analiz karmaşıklığı için gizleme tekniklerini kullanan PureCrypter’a benzeyen çok yönlü bir hırsızdır. Bazen Pure ailesi örneklerinde ortak bir özellik olan ZGRat ile karıştırılıyor.
  • Uzmanlar, PureCrypter ve PureLogs’a benzer imzalara sahip benzersiz örnekler buldu. Bu imzalar aynı trafik modellerini, 3DES şifrelemeyi (MD5Crypto ile şifrelenmiş anahtar), paylaşılan kod davranışını (proto-buf modülü) ve PureCrypter ve PureLogs’a benzeyen bir yapıyı içeriyordu.
Saf Madenci
PureMiner (Kaynak – Any.Run)

Araçların eğitim amaçlı olduğu iddia edilse de sessiz madencileri, botnet’leri ve gizli HVNC’yi barındırıyorlar. Pure’un sitesinde aylık satın alımlarda bile yüksek talep açıkça görülüyor.

Kullanıcılar, muhtemelen bir Bitcoin mikserinin parçası olan çeşitli cüzdanların yardımıyla Bitcoin’de kripto ödemeleri yapar. 19-26 Mayıs 2023 tarihleri ​​arasında tespit edilen cüzdan etkinliği, Blockchain.com’da halihazırda 250 işlemden oluşuyor ve bu da 32.000 dolarlık devasa bir meblağ anlamına geliyor.

Sahte eğitim yazılımı, Telegram botu aracılığıyla dağıtılan güçlü bir kötü amaçlı araçtır. Pure ayda birkaç sipariş aldığından popülaritesi yakın zamanda hızla artabilir.

ANY.RUN’da derinlemesine kötü amaçlı yazılım analizi gerçekleştirin. Tüm özellikleri 14 gün boyunca ücretsiz deneyin.



Source link