Hizmet olarak siber suç , Uç Nokta Koruma Platformları (EPP), Uç Nokta Güvenliği
BatCloak Toplu Dosyaları AV ve EDR Tespitinden Geçiyor
Akşaya Asokan (asokan_akshaya) •
19 Haziran 2023
Kötü amaçlı yazılım geliştiricileri, kötü amaçlı yazılımları antivirüsten geçiren, kullanımı kolay bir gizleme aracını benimsiyor, güvenlik araştırmacılarını uyarıyor.
Ayrıca bakınız: Hintli Kuruluşlar İçin Karmaşık Siber Tehditleri MDR ile Etkisiz Hale Getiriyor
BatCloak olarak bilinen bir toplu iş dosyası gizleme motorunun kullanılması için minimum düzeyde programlama becerisi gerekir. Yakın zamandaki başarıları arasında, birden fazla firmadan araştırmacıların antivirüs ve uç nokta tespit ve yanıt araçları tarafından tespit edilmeye karşı dayanıklı olduğunu söylediği SeroXen adlı yeni bir uzaktan erişim Truva atı var.
AT&T tarafından Mayıs ayında analiz edilen bir SeroXen örneği, VirusTotal’da sıfır algılamaya neden oldu. Trend Micro tarafından bu ayın başlarında yayınlanan, halka açık bir depodan alınan yüzlerce virüslü toplu iş dosyası örneğinin analizi, BatCloak’ın dosyaların %80’ini güvenlik yazılımı tarafından algılanmaya karşı koruduğu sonucuna vardı. Toplu iş dosyaları, genellikle bir .bat uzantısı, bir komut satırı yorumlayıcısı için komut dosyaları içeren düz metin dosyalarıdır.
SeroXen, 2022’nin sonlarında ortaya çıktı ve ayda 30 ABD Doları veya doğrudan 60 ABD Doları karşılığında perakende satış yaptı. AT&T’nin bildirdiğine göre, köklü Quasar RAT’ın bir varyasyonu. Görünüşe göre SeroXen’in arkasındaki bilgisayar korsanı, hala aktif olan bir web sitesi kullanmış, seroxen.net, Trojan’ı dağıtmak için, ancak site şu anda satışların “şu andan itibaren” askıya alındığını söylüyor. Site, kötü amaçlı yazılımı “tamamen algılanamaz” veya “FUD” olarak pazarladı.
TrendMicro Perşembe günü, BatCloak’ın SeroXen’i algılamadan gizlemek için kullandığı tekniklerden birinin, kötü amaçlı yazılımın ortam değişkenlerini belirlemek için Windows komut istemi arabirimini kullanmasını engelleyen karmaşık dizi manipülasyonu olduğunu söyleyen bir analiz yayınladı. set emretmek.
SeroXen, bir komutu yürütmek için değişkenleri birleştirir – kötü amaçlı yazılım kodlayıcılarının kötü amaçlı komutların algılanmasını önlemek için kullandığı bir yöntem. Sonuç olarak, bir şifreyi çözmek ve teslim etmek için gizlenmiş PowerShell komutlarını kullanır. .net yükleyici
bu .bat yükleyici, araştırmacıların dikkatini ilk olarak 2022’de bilgisayar korsanları arasında dolaşmaya başlayan açık kaynaklı bir toplu dosya oluşturucu olan Jlaive’in şaşırtma motoru olarak gördü. TrendMicro, BatCloak motorunun en son sürümünün “ScrubCrypt” olarak satıldığını söylüyor. Geliştiricisinin yeni bir açık kaynak aracı piyasaya sürmek yerine erişimi satma kararı, büyük olasılıkla Jlaive’in başarısından ve “projeden para kazanma ve onu yetkisiz çoğaltmaya karşı koruma arzusundan” kaynaklanıyor.