SSLoad, esas olarak kimlik avı e-postaları aracılığıyla istenen sistemlere giren karmaşık bir kötü amaçlı yazılım yükleyicisidir. İçeri girdikten sonra keşif gerçekleştirir ve ardından toplanan istihbaratı işleyicilerine aktarır.
SSLoad daha sonra sisteme farklı zararlı kod biçimleri yüklerken tespit edilmeyi aşmak için mevcut tüm araçları kullanır. Bu program ayrıca kötü amaçlı yazılımları birçok şekilde dağıtmak ve çeşitli şifreleme teknikleri kullanmak üzere tasarlanmıştır.
ANY.RUN’daki siber güvenlik araştırmacıları yakın zamanda yeni SSLoad’ı tespit etti kötü amaçlı yazılım Kullanıcıların giriş bilgilerini ele geçirmek için saldırıda bulunduğu tespit edildi.
Bu özellikler, SSLoad’un daha geniş bir kapsamda Kötü Amaçlı Yazılım Hizmeti (MaaS) kapsamında yer aldığını göstermektedir.
Teknik Analiz
SSLoad, Ocak 2024’te ortaya çıkan, karmaşık ve gelişen saldırı teknikleriyle öne çıkan, gelişmiş bir kötü amaçlı yazılım yükleyicisidir.
Siber güvenlik uzmanları, bu çok amaçlı riski tespit etmekte zorluk çekiyor çünkü teslimat yöntemleri arasında kimlik avı e-postaları, aldatıcı belgeler, DLL yan yüklemeleri ve kötü amaçlı MSI yükleyicileri yer alıyor.
SSLoad, sistem haritalama teknikleri, veri kaybı önleme şemaları ve uzun vadeli giriş stratejilerinin yanı sıra bilgisayarın belleğinde kaçınma ve yürütme konusunda üstün yeteneklere sahiptir.
Şifrelenmiş protokoller aracılığıyla komuta ve kontrol sunucularıyla iletişim kurarak talimatları alır ve Cobalt Strike da dahil olmak üzere ek yükler indirir.
Kötü amaçlı yazılımın kullandığı taktiklerdeki kademeli değişim, Telegram kanallarına dayanan önceki sürümlerinin aksine, herhangi bir aracıya ihtiyaç duymadan doğrudan kurbanların hafızasına yüklenmesi de dahil olmak üzere üzerinde yapılan çeşitli değişikliklerle kendini gösteriyor.
Easily analyze emerging malware with ANY.RUN interactive online sandbox - Try 14 Days Free Trial
Bu karmaşık türün esnekliği, bunun muhtemelen Kötü Amaçlı Yazılım Hizmeti (MaaS) örneği olduğunu, çeşitli tehdit aktörlerine hizmet ettiğini ve siber güvenlik ortamına önemli kalıcı tehditler sunduğunu göstermektedir.
SSLoad kötü amaçlı yazılımı kimlik avı e-postaları yoluyla dağıtılır ve yayılması için iki ana tekniğe güvenir:
- Kötü amaçlı DLL’leri çalıştırabilen sahte Word belgeleri.
- Sahte Azure sayfaları, MSI yükleyici JavaScript indirmelerine yol açıyor.
Rust tabanlı bu SSLoad yükü tetiklendiğinde, kendisinin birden fazla örneğini engellemek için bir mutex oluşturur ve topladığı verileri C2 sunucularına yüklediği sistem keşfine devam eder.
SSLoad tarafından kullanılan bazı kaçınma mekanizmaları, İşlem Ortam Bloğu’ndaki (PEB) hata ayıklama bayraklarını kontrol etmekten ve yürütmede zamana dayalı gecikmeler için Görev Zamanlayıcı’yı kullanmaktan oluşur.
Bu durumda, özellikle Cobalt Strike yükleri, tehlikeye atılmış ağlar içerisinde yatay hareketi kolaylaştırmak için bu kötü amaçlı yazılım aracılığıyla dağıtılmaktadır.
SSLoad, bu çok aşamalı saldırı zinciriyle kaçınma taktiklerini birleştirerek önemli bir siber güvenlik tehdidi olarak ortaya çıkıyor.
Dağıtım mekanizmaları zararlı e-posta ekleri, virüslü web sayfaları, aldatıcı komut dosyaları ve görünüşte zararsız uygulamalarla paketlenmiş olarak karşımıza çıkıyor.
Bu karmaşık yöntemleri ve bunların çeşitli uygulama yaklaşımlarını tespit etmek zorlu bir iştir.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access