Kötü amaçlı yazılım dağıtıcıları, Windows işletim sisteminin güvenlik kontrollerini atlayarak yönetici haklarıyla çalışacaklarına zaten güvenmesi nedeniyle MSI yükleyicilerini kullanıyor.
Bu nedenle MSI dosyaları, fidye yazılımlarını, casus yazılımları ve orijinal yazılım yüklemeleri gibi algılanabilecek diğer kötü amaçlı yazılımları yaymanın uygun bir yoludur.
Intezer’deki siber güvenlik araştırmacıları yakın zamanda SSLoad kötü amaçlı yazılımının dağıtım zincirini başlatmak için MSI yükleyicilerini kullandığını keşfetti.
SSLoad Kötü Amaçlı Yazılım MSI Installer’ı Kullanıyor
Sisteme sızma, bilgi toplama ve yük dağıtımı, sessiz bir kötü amaçlı yazılım olan SSLoad’ın devreye girdiği işlemlerden bazılarıdır.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Yakın zamanda SSLoad kullanan aktif bir kampanya, Cobalt Strike’ı çalıştıran bir SSLoad DLL’si taşıyan sahte bir Word belgesini ve SSLoad yükünü yüklemek için bir MSI yükleyicisinin yanı sıra bir JavaScript betiği indiren sahte bir Azure sayfasına yönlendiren bir kimlik avı e-postasını içeriyordu.
SSLoad, Nisan 2024’ten bu yana kurbanları hedef alıyor ve çoklu dağıtım yöntemleri, MaaS amacıyla kullanıldığına işaret ederek ne kadar çok yönlü olabileceğini gösteriyor.
Araştırmacılar, birden fazla yükleyiciyle bir teslimat zinciri başlatan ve sonunda son SSLoad yükünü dağıtan bir MSI yükleyicisini analiz etti.
İlk PhantomLoader, bir sonraki yükleyici aşamasını kırmak için kendi kendini değiştiren teknikleri ve XOR şifre çözmeyi kullanan 32 bitlik bir C/C++ DLL’dir.
Bu ikinci yükleyici, 32 bit Rust DLL’si olan SSLoad yükünü yükler. SSLoad, komut ve kontrol sunucusu adresini almak için ölü bırakma olarak kullanılan bir Telegram kanalı URL’sinin şifresini çözer.
C2 kod çözücü, C2 adresinin ve kullanıcı aracısının şifresini çözer ve C2 sunucusundan bir sonraki yük aşamasını indirmek için bir HTTP GET isteği gönderir.
Bu SSLoad çeşidi, dizelerin şifresini RC4 algoritmasıyla çözmek için özel bir yöntem kullanır. Her dize, yanında saklanan kendi ayrı anahtarıyla şifrelenir.
Anahtar, kodlanmış blobun ilk 6 ve son 7 baytından türetilir. Şifrelenmiş dizenin uzunluğu hesaplandıktan sonra, Telegram kanal URL’si çıkarılarak türetilmiş anahtar kullanılarak Base64’ün kodu çözülür ve RC4 ile şifresi çözülür.
Yük, anti-analiz için bir muteks oluşturan, hata ayıklamayı kontrol eden, DLL’leri dinamik olarak yükleyen ve dizelerin kodunu benzersiz bir şekilde çözmek için aritmetik işlemler aracılığıyla dönen XOR anahtarlarını türeten başka bir Rust dosyasıdır.
Bunun yanı sıra, benzersiz klasör adlandırma için RtlGenRandom’u kullanıyor, modül ve işlev adlarını karma hale getirerek kütüphane çağrılarını dinamik olarak çözüyor ve PEB’i kaçırmak için manipüle etmek gibi yaygın kötü amaçlı yazılım tekniklerini kullanıyor.
JSON parmak izi, HTTP POST kullanılarak C2’ye gönderilir ve Load, ana bilgisayar kimliğini içeren bir HTTP isteğinde bulunur.
İstemci, benzersiz bir SSLoad ana bilgisayar tanımlayıcısına sahip bir gönderi isteği göndererek mevcut görevleri kontrol eder.
Görevin kullanılabilirliğine bağlı olarak C2, RC4 ve base64 kodlu formatta şifrelenmiş bir iş yapısıyla, bir komutla (şu anda yükleri indirmek için yalnızca “exe” kullanılmaktadır) ve argümanlarla yanıt verir.
Ayrıca, dinamik dize şifre çözme ve hata ayıklama önleme mekanizmasını içeren yeni bir yükleyiciden oluşan Rust indiricisinin kullanımıyla da gösterildiği gibi ne kadar karmaşık olabileceğini de gösteriyor.
Bu tür karmaşık kötü amaçlı yazılım kampanyalarıyla etkili bir şekilde mücadele etmek için sürekli izleme ve gelişmiş tehdit tespiti gereklidir.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo