Saf Kötü Amaçlı Yazılım Araçları, Tespitleri Atlatmak İçin Meşru Yazılım Kılığına Giriyor


Pure kötü amaçlı yazılım ailesinin oluşturduğu büyüyen tehlikeye ilişkin kapsamlı bir inceleme yayınlandı ve sektöre PureCrypter, PureLogs ve PureMiner hakkında daha aydınlatıcı bilgiler sağlandı.

HERHANGİ. ÇALIŞTIR açıklandı Pure araçlarının “eğitim amaçlı” tasarlanmış meşru yazılım olarak gizlendiği. Ancak kodun yakından incelenmesi, bunun güçlü bir kötü amaçlı araç olduğunu ortaya koyuyor.

HERHANGİ BİR ÇALIŞMA SOC ve DFIR ekipleri için kötü amaçlı yazılım analizinin ağır yükünü üstlenen bir bulut kötü amaçlı yazılım korumalı alanıdır. Her gün 300.000 profesyonel, olayları araştırmak ve tehdit analizini kolaylaştırmak için ANY.RUN platformunu kullanıyor. Bir güvenlik araştırmacısı veya analistiyseniz 14 günlük bir süre talep edebilirsiniz. ANY.RUN Enterprise planına ücretsiz erişim.

Pure Kötü Amaçlı Yazılım Ailesine ilişkin özel bilgiler

PureCoder ürünleri, geliştiricinin eski web sitesinde verilen bilgilere göre ilk olarak Mart 2021’de dağıtıldı. Pure’un mevcut web sitesinde, ana sayfada yazılımın penetrasyon testi ve eğitim amaçlı kullanıldığına dair bir mesaj var.

Web sitesi, yazılımın eğitimsel ve sızma testi niteliği hakkında yalan söylüyor
Web sitesi, yazılımın eğitimsel ve sızma testi niteliği hakkında yalan söylüyor

Ancak satılan kodun kötü amaçlarla kullanıldığı bir modelin var gibi göründüğünü unutmamak önemlidir.

Belge

ANY.RUN ile Alışveriş Amaçlı Kötü Amaçlı Yazılımları Analiz Edin

300.000’den fazla analist ANY.RUN’u kullanıyor, dünya çapında bir kötü amaçlı yazılım analiz sanal alanıdır. En önemli tehditlere ilişkin derinlemesine araştırmalar yürütmek ve davranışlarına ilişkin ayrıntılı raporlar toplamak için topluluğa katılın.

Telegram bot satışları, Mart 2023’ten bu yana Pure güncellemelerinde dikkat çekiyor. Telegram botları, kötü amaçlı yazılım satın alma sürecini otomatikleştiriyor ve anonimleştiriyor. Botların kullanılması, yazarın hizmeti büyüttüğünü, genişlettiğini ve iyileştirdiğini gösterir.

Grubun
Grubun “eğitim amaçlı” kisvesi altında dağıttığı ürünler

Bu ürünler kullanıcıları eğitmek amacıyla verilmektedir; ancak gizli HVNC’yi, botnet’leri ve sessiz madencileri içermeleri garip görünüyor. Pure’un çevrimiçi yorumları ve değerlendirmeleri, her ay en az birkaç işlemin yapıldığı güçlü bir talep seviyesine işaret ediyor.

Kullanıcıların Bitcoin’de kripto para birimi ödemeleri yapması gerekir. Ödeme sayfasında birden fazla Bitcoin cüzdanı mevcuttur. Bu cüzdanlar muhtemelen Bitcoin karıştırıcısının bir bileşenidir.

ANY.RUN, yakın zamanda 4. çeyrekte 98.500’den fazla kötü amaçlı örnekte T1036.005’in kullanıldığını keşfetti. En üstte ne olduğunu görebilirsin kötü amaçlı yazılım aileleri, Saldırganların 2023’te kullandığı Türler, Taktikler, Teknikler ve Prosedürler (TTP’ler), bize 2024’te neler bekleyebileceğimizi anlatabilir.

PureCrypter, şifreleme ve veri gizleme algoritmalarına sahip bir şifreleyicidir (veya şaşırtıcıdır). Bir araya geldiklerinde antivirüs yazılımlarının kötü amaçlı yazılımları tespit etmesini önleyerek analizleri araştırmacılar için daha zorlu hale getiriyorlar.

PureCrypter'ın davranış akışı
PureCrypter’ın davranış akışı

Yükleyicide iki taşıma yükü aşaması vardır: kademeli ve kademesiz. Costura ve Protobuf-net kütüphaneleri şifresi çözülen kaynaklar arasında yer alıyor.

Veriler seri durumdan çıkarılır ve Protobuf-net kullanılarak bir yapılandırma oluşturmak için sıkıştırılmış kötü amaçlı yazılımla birleştirilir. Kötü amaçlı yazılım sıkıştırmayı açmayı tamamladığında, sonunda yapılandırma parametreleriyle yeni bir süreçte başlatılır.

PureCrypter’ın hem aşamalı hem de aşamasız giriş noktalarının aynı olduğunu görebiliyoruz. Bu nedenle hemen hemen aynıdırlar.

PureCrypter iki farklı türde veri sağlayabilir: 3. taraf kötü amaçlı yazılım veya kendi tescilli ürünü PureLogs.

Aşamasız süreçte olduğu gibi, üçüncü taraf kötü amaçlı yazılımlar da .NET Assembly kaynağının şifresini çözüp yükleyerek başlar. Bu aynı şekilde AES (Rijndael) şifrelemede de ortaya çıkar.

NET Reactor koruyucusu genellikle PureLogs kötü amaçlı yazılımını yaymak için bir yükleyici kullanır. PureLogs adlı küçük bir kütüphane veri hırsızlığıyla uğraşıyor. Yükleyici genellikle kitaplığı bir C2 sunucusundan yükler.

PureLogs Yükleyici
PureLogs Yükleyici

Yükleme trafiğinin analizine göre, ilk bağlantıda şifreli bir mesaj iletilir ve şifreli bir yanıt alınır. Bütün bunlar yükleyicinin içinde gerçekleşir.

Yanıt fazladan bir serileştirme katmanı içerir ve bayt tersine çevirme yoluyla yeniden şifrelenir, ancak ilk bağlantıdaki iki mesaj benzer şekilde şifrelenir. Program bu mesajı şifreledikten sonra sunucuya iletir. Önce mesajın boyutunu belirten dört bayt gelir, ardından mesajın kendisi gelir.

Çok işlevli bir hırsız PureLogs’tur. Gizleme ve gizleme teknikleri, PureCrypter’ın analizinde olduğu gibi PureLogs’un analizini de karmaşık hale getirir. Bu bazen Pure ailesinin örneklerinde yaygın olarak bulunan ZGRat ile karıştırılır.

Kütüphane, uzantılar da dahil olmak üzere tarayıcı verileri, kripto cüzdanları hakkındaki veriler, kullanıcı hakkındaki tüm bilgiler ve bilgisayar konfigürasyonu hakkındaki tüm bilgiler gibi birçok işlev arasında döngü yaparak sistemden bilgi toplar.

Uzmanlar PureCrypter ve PureLogs benzeri imzalara sahip farklı örnekler keşfetti. Bu imzalar aynı trafik modellerine, PureCrypter ve PureLogs’a benzer bir yapıya, aynı kod davranışına (proto-buf modülü) ve 3DES şifrelemesine (MD5Crypto kullanılarak şifrelenen anahtar) sahipti.

Saf Madenci
Saf Madenci

PureMiner sistem hakkında bilgi toplar ve bunu C2’ye gönderir. Bunu takiben madencilik yönergeleriyle birlikte bir yanıt alır.

Son sözler

Kod analizi, bunun güçlü bir kötü amaçlı araç olduğunu açıkça gösteriyor. Geliştiricileri bir Telegram botu kullanarak bunu yaymaya başladı ve bu da işlerini büyüttüklerini gösteriyor.

Kısa süre içinde popülaritesinin artmaya başlaması çok muhtemel.

ANY.RUN’da derinlemesine kötü amaçlı yazılım analizi gerçekleştirin. Tüm özellikleri 14 gün boyunca ücretsiz deneyin.



Source link