Python betiği, ‘System.Reflection’, ‘ctypes’ ve ‘wintypes’ gibi önemli kitaplıkları içe aktararak Windows API’lerini doğrudan çağırmasını sağlayan Windows işletim sistemiyle düşük düzeyli etkileşimlerden yararlanır.
Komut dosyasının sistem davranışını temel düzeyde değiştirmesine olanak tanır ve potansiyel olarak kötü amaçlı yüklerin yüklenmesi, sistem ayarlarının değiştirilmesi veya güvenlik önlemlerinden kaçmak gibi eylemleri mümkün kılar.
Virustotal’daki mevcut puanı nispeten düşük olmasına rağmen kötü niyetli faaliyetlere girişme potansiyeli bulunduğundan script hakkında ek araştırma yapılması gerekmektedir.
Komut dosyası, kritik API’leri yamalayarak sistem davranışını değiştirir: AmsiScanBuffer ve EtwEventWrite; bu, bu işlevlerin başlangıç baytlarının üzerine özel kod yazmayı içerir.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
64 bit sistemler için EtwEventWrite yaması dört bayttan (0x48, 0x33, 0xc0, 0xc3) oluşurken, 32 bit sistemler için beş bayttan (0x33, 0xc0, 0xc2, 0x14, 0x00) oluşur. Orijinal API işlevlerinin yürütülmesi, Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzü gibi güvenlik mekanizmalarını engeller (AMSI) ve Windows için Olay İzleme (ETW) aracılığıyla olay günlüğe kaydetme.
Base64 kodlu bir dizeyi çıkarır ve kodunu çözer, çünkü kodu çözülen veriler daha sonra bir derlemeyi yüklemek için kullanılır; bu büyük olasılıkla bir .NET derlemesidir, çünkü Assembly.Load, System.Reflection ad alanından bir işlevdir ve .NET’te yaygın olarak kullanılır. .
Derlemeyi yükledikten sonra komut dosyası, derlemenin EntryPoint özelliği tarafından belirtilen sınıfın bir örneğini oluşturur. Son olarak, komut dosyası, derlemenin EntryPoint’inde Invoke yöntemini çağırarak yüklü derlemenin giriş noktası yöntemini etkili bir şekilde çağırır.
Yükün ilk baytları dosya formatını tanımlamak için kullanılabilir. Bu durumda, başlangıçtaki “MZ” baytları ve ardından belirli bir bayt modeli, Taşınabilir Yürütülebilir (PE) dosya formatını belirtir.
‘base64dump.py’ aracı, Windows DLL’lerinde yaygın olarak kullanılan bir işlev olan “GetModuleHandleA” dizesini tekrarlayan ilk 16 baytın kodunu çözerek bunu daha da doğrular.
‘File’ komutu, dosyayı bir PE32+ yürütülebilir dosyası olarak tanımlar; bu, onun Microsoft Windows ortamı için 64 bitlik bir yürütülebilir dosya olduğunu ve yüksek düzeyde bir dilde yazılmış ve aşağıdaki formatta derlenmiş bir program olan bir .Net derlemesi olduğunu ima eder. .Net çalışma zamanı ortamında yürütülebilir.
Kötü amaçlı yazılım önce kendisini gizli bir konuma kopyalar ve oradan çalıştırılıp çalıştırılmadığını kontrol eder. Eğer öyleyse, bir sonraki aşamanın yükünü çıkarır ve bir kayıt defteri anahtarı ve bir başlangıç kısayolu ekleyerek kalıcılık oluşturur.
Sans ICS’ye göre bir sonraki aşama, beyaz listeyi atlamak için yansımayı kullanan ve başka bir SwaetRAT’ın kendisi olan son yükü içeren altıgen bir dizenin kodunu çözen bir .NET ikili programıdır ve kötü amaçlı yazılım da kendisini başka bir konuma kopyalar ve C2 sunucusu konfigürasyondan çıkarıldı.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!