Skitnet (veya Bossnet) olarak bilinen yeni ve son derece sofistike çok aşamalı bir kötü amaçlı yazılım, kötü niyetli yükünü yürütmek ve enfekte sistemlere kalıcı erişimi sürdürmek için gelişmiş gizli teknikleri sergileyen ortaya çıktı.
Tehdit Grubu Larva-306 tarafından geliştirilen Skitnet, 19 Nisan 2024’ten beri Rampa gibi yeraltı forumlarında aktif olarak satıldı ve içerik oluşturucuları hem kötü amaçlı yazılım hem de sunucu kodunu kompakt bir paket olarak sunuyor.
BASH komut dosyaları aracılığıyla tam otomatik kurulumla ilan edilen bu kötü amaçlı yazılım, manuel müdahaleyi en aza indirir ve SSH günlükleri, IP adresleri, komut geçmişi ve önbellek verileri gibi izleri silmek için kendi kendini temizleme mekanizmalarını içerir ve adli analizi zorlaştırır.
.png
)
Skitnet’in arkasındaki Rusça konuşan yazar, geleneksel güvenlik savunmalarını atlamak için çoklu programlama dili ve şifreleme yöntemlerinden yararlanarak çok yönlü ve kaçamaklı bir araç olarak tasarladı.
Sofistike çok aşamalı bir tehdit
Özünde, Skitnet pas içinde hazırlanmış bir başlangıç yürütülebilir dosyası ile başlar, ChaCha20 şifreleme kitaplığını, gömülü bir yükün şifresini çözmek için kullanır.
Şifreden çözüldükten sonra, pas bileşeni, tespitten kaçınmak için T1620 kapsamında (yansıtıcı kod yükleme) sınıflandırılan bir yöntem olan NIM-Dergiye İkili’ni belleğe yansıtıcı bir şekilde yüklemek için Dinvoke-Rs ManualMap kütüphanesini kullanır.
Bu NIM ikili daha sonra statik ithalat tablolarından kaçınmak için DNS çözünürlüğü (T1071.004-DNS) kullanarak bir komut ve kontrol (C2) sunucusuna bir ters kabuk oluşturur (T1071.004-DNS), API işlevlerini GetProcAddress (T1106-Native API) aracılığıyla dinamik olarak çözer.
C2 sunucusuyla iletişimi sürdürmek için rastgele DNS istekleri ve iş parçacığı oluşturur, verileri oturum anahtarları (T1573.001 – simetrik kriptografi) ile şifreler ve gizli veri eksfiltrasyonunu kolaylaştırır.
Skitnet mimarisinin teknik dökümü
Regeks kontrolleri ve IP/Country filtreleri ile sabitlenen kötü amaçlı yazılımların C2 paneli, kurbanın C sürücü seri numarasına göre benzersiz kimlikleri izleyerek enfekte cihazları yöneterek operasyonel gizliliğini daha da artırır.
Skitnet’in kalıcılık mekanizmaları eşit derecede karmaşıktır, sürekli yürütme sağlamak için PowerShell komut dosyaları ve DLL kaçırma (T1574 – Kaçış Yürütme Akışı) kullanır.
“Startup” komutu aracılığıyla, bir PowerShell komut dosyası (PAS.PS1) yürütmek için ASUS ve kötü niyetli bir SNXHidlib.dll’den ISP.EXE gibi dosyaları indirir.
Catalyst Report’a göre, başlangıç klasörüne (T1547.001 – kayıt defteri çalıştırma anahtarları/başlangıç klasörü) yerleştirilen bu komut dosyası, yeniden başlatıldıktan sonra C2 sunucusuna kalıcılığı garanti eder.
Ekran görüntülerini yakalamak için “ekran” (T1013 – ekran yakalama), “AnyDesk” ve Uzaktan Erişim için “Rutserv” ve yüklü güvenlik yazılımını (T1518.001 – güvenlik yazılımı keşfi) numaralandırmak için “AV” gibi ek komutlar SkitNet’in çok yönlülüğünü gösterir.
Ayrıca, opak tahminler ve dize şifrelemesi ile ağır bir şekilde gizlenmiş bir .NET tabanlı ikinci aşama yükleyici, RC4 şifrelemesini kullanarak dinamik olarak oluşturulan C2 URL’lerinden daha fazla yük indirir ve saldırı zincirini sürdürür.
Pas, NIM ve .NET bileşenlerini manuel haritalama ve DNS tünelleme gibi gelişmiş kaçış taktikleri ile harmanlayan bu çok katmanlı yaklaşım, Skitnet’in tehlikeye atılan sistemlere uzun süreli erişimi sürdürürken tespit edilmeme yeteneğinin altını çiziyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!