Siber güvenlik araştırmacıları, tehdit aktörleri tarafından kötü niyetli yükleri algılamadan korumak için gelişmiş şifreleme standardı (AES) şifrelemesinin kullanımında bir artış ortaya çıkarmıştır.
Bu teknik, kod sanallaştırma ve aşamalı yük dağıtımıyla birleştiğinde, statik analiz araçlarından ve sanal alan ortamlarından kaçınmak için Ajan Tesla, Xworm ve Formbook/Xloader gibi kötü amaçlı yazılım aileleri tarafından kullanılmaktadır.
Çok katmanlı şaşkınlık: teknik bir döküm
Kötü amaçlı yazılım geliştiricileri, yüklerini korumak için sofistike gizleme yöntemlerinden yararlanıyorlar.
Ön planda, paylaşılan bir anahtar kullanarak verileri şifreleyen simetrik bir blok şifresi olan AES şifrelemesi vardır.
XOR şifrelemesi gibi daha basit yöntemlerin aksine, AES, düz metni birden fazla ikame ve permütasyon turu yoluyla şifre metnine dönüştürerek sağlam güvenlik sunar.
Gözlenen numunelerde, AES, her düz metin bloğunun benzersiz bir başlatma vektörü (IV) ile şifrelenmesini sağlayarak şifre çözme çabalarını daha da karmaşıklaştıran Cipher Blok Zincirleme (CBC) modunda çalışır.
Bu kötü amaçlı yazılım örneklerinin ilk aşaması, şifreli yüklerin taşınabilir yürütülebilir (PE) kaplamasına gömülmesini içerir.
Dosyanın bu alanı, genellikle statik analiz araçları tarafından göz ardı edilen, belirli belirteçler tarafından sınırlandırılan AES anahtarı ve IV gibi anahtar kriptografik parametreler içerir.
Bu parametreler, imza tabanlı algılama sistemlerinden kaçınmak için keyfi dizilerle yastıklıdır.
Şifre çözülmesinin ardından, ikinci aşama, confuserex gizleme aracı için bir eklenti olan KOIVM kullanarak kod sanallaştırma kullanır.
Bu teknik, standart kodu yalnızca özel bir sanal makine (VM) tarafından yürütülebilen tescilli bir ara dile dönüştürür.
VM’nin dağıtıcısı, özel işleyicilere yönelik talimatları yönlendirerek, ters mühendisliği analistler için son derece zorlaştırıyor.
Aşama 2 yükü, son kötü amaçlı kodun belleğe çözülmesi ve yüklenmesi bir damlalık olarak işlev görür.
Nihai Yük Yürütmesi: Sizlikli Bir Yaklaşım
Son aşama, geleneksel dosya tabanlı algılama yöntemlerini atlayarak şifre çözülmüş yükün doğrudan belleğe yürütülmesini içerir.
Analiz edilen yükler ağırlıklı olarak Ajan Tesla ve Xworm ailelerine aittir ve bazı örnekler Formbook/Xloader Shellcode’u sunar.
Özellikle, Xworm, Elektronik Kod Kitabı (ECB) modunda AE’ler kullanarak yapılandırma parametrelerini daha da şifreler ve sert kodlu anahtarlar kötü amaçlı yazılımların değişkenleri içinde saklanır.
Ünite 42 araştırmacılarına göre, bu çok aşamalı teknikler, tehdit aktörlerinin tespit mekanizmalarından kaçarken kötü amaçlı kodları dinamik olarak yüklemesine ve yürütmesine izin verir.
.NET yansıma özelliklerinden yararlanarak, kötü amaçlı yazılım yeni nesneleri tanıtabilir veya mevcut nesneleri çalışma zamanında manipüle edebilir ve analizi daha da karmaşıklaştırabilir.
Gelişmiş gizleme tekniklerinin benimsenmesi, siber tehditlerin gelişen sofistike olmasının altını çizmektedir.
Geleneksel statik analiz araçları, bu tür çok katmanlı kötü amaçlı yazılımların tespit edilmesinde önemli zorluklarla karşı karşıyadır.
Güvenlik çözümleri, çalışma zamanı sırasında anomalileri tanımlamak için davranışsal analiz ve makine öğrenimi ekleyerek uyum sağlamalıdır.
Çözümler, tehditleri yürütmeden önce tespit etmek ve nötralize etmek için davranışsal tehdit koruması ve sömürü önleme modüllerinden yararlanır.
Tehdit aktörleri yenilik yapmaya devam ettikçe, siber güvenlik araştırmacıları ve satıcılar arasında işbirliği bu ileri tekniklere etkili bir şekilde karşı koymak için kritik öneme sahiptir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.