-1.webp "Yeni Gizli Evrensel Rootkit, Saldırganın İkinci Aşama Yükü Doğrudan Yüklemesine İzin Verir")
Kendinden imzalı Çin menşeli bir Rootkit, hassas bilgileri dışarı sızdırmak için oyun sektörlerini hedefleyen evrensel bir indirici görevi görür.
Tehdit aktörleri, güvenlik kontrolünden geçmek için sürücülerini imzalamak üzere Microsoft imzalama portallarını kötüye kullanır.
.png
)
Trend Micro’nun analizine göre, kötü amaçlı yazılımın ana ikili dosyası, C&C ile iletişim kurmak için ikinci aşama imzasız bir çekirdek modülünü indiren evrensel bir indirici görevi görür.
Gizli Evrensel Rootkit Yükleyici
Temel olarak, kötü niyetli aktörler, kötü niyetli çekirdek sürücülerini imzalamak için aşağıdaki yaklaşımları kullanır: Microsoft imzalama portallarını kötüye kullanmak, Sızan ve çalınan sertifikaları kullanmak ve Yeraltı hizmetlerini kullanmak.
Trend Micro raporunda “64 bit imzalı rootkit’leri avlamak, 64 bit imzalı sürücülerin sayısı arttıkça çekirdek modu kod imzalama (KMCS) politikaları mekanizmalarının tanıtıldığı günlerde artık kolay değil” diyor.
Başlangıçta, kayıt defterini düzenleyerek ve C&C sunucusuyla bir ağ etkinliği başlatmak için Winsock Kernel (WSK) nesnelerini başlatarak Kullanıcı Hesabı Denetimi (UAC) ve Güvenli Masaüstü modunu devre dışı bırakan 64 bit imzalı bir sürücü yüklendi.
Ardından, farklı alanlar oluşturmak için bir Etki Alanı Oluşturma Algoritması (DGA) algoritması kullanır. 80 numaralı bağlantı noktasından sürücüye bağlanır ve iletişim için bir TCP soketi oluşturur.
Bu indirici, C&C’den veri baytını alır ve alınan verilerin şifresini çözer, ardından Taşınabilir yürütülebilir dosyayı diske yazmadan belleğe yükler.
İkinci Aşama Sürücü
İndirilen ikinci aşama sürücü imzasızdır ve birinci aşama sürücüyü diskten okur ve kayıt defterine yazar, ardından diskten siler.
Buna ek olarak, Windows Defender yazılımını durdurur ve algılamadan kaçınmak için “ve SecurityHealthService” kayıt defteri anahtarından casus yazılım önleme algılamasını devre dışı bırakır.
Son olarak, proxy eklentisi makineye bir proxy yükler ve web tarama trafiğini uzak bir proxy makinesine yönlendirir.
Önce Windows proxy yapılandırmasını düzenler ve ardından URL’yi temel alarak tarayıcının içine onu başka bir sunucuya yönlendirebilecek JavaScript enjekte eder.
Bu rootkit’ler, hem düşük seviyeli sistem bileşenlerini tersine mühendislik yapma becerisine hem de bu tür araçları geliştirmek için gerekli kaynaklara sahip gelişmiş gruplar tarafından yoğun bir şekilde kullanılacaktır.