Siber güvenlik meraklısı Xavier, görünüşte zararsız JPEG görüntülerinde kötü niyetli yükleri gizlemek için sofistike bir yöntemle ışık tuttu.
Bu keşif, infosec topluluğuna önemli ilgi gösterdi, çünkü steganografiyi diğer verilerdeki verileri gizleme sanatından yararlanan siber tehditlerin artan karmaşıklığını vurguladı.
Dinamik analiz yoluyla, araştırmacılar bu gizli yükleri ortaya çıkarabilir ve Xavier’in bulguları bu tür tehditlerin çözülmesinde zorlayıcı bir vaka çalışması sunar.
.png
)
Dinamik analiz gizli yükü ortaya çıkarır
Şüpheli ağ etkinliğinin dinamik bir analizi sırasında, şüpheli bir alandan bir JPEG görüntüsü indirildi, hxxps: // zynova[.]Kesug[.]com/new_image.jpg.
Xavier’in başlangıçta yürüttüğü statik analizlerin aksine, dinamik analiz, kötü niyetli aktiviteyi tespit etmek için kontrollü bir ortamda bir sistemin veya dosyanın davranışını gözlemlemeye odaklanır.
İndirilen görüntünün jpegdump.py gibi özel bir araç kullanarak daha yakından incelenmesi üzerine, görüntü (EOI) işaretleyicisinin sonundan sonra dosyaya ek verilerin eklendiği ortaya çıktı.
Rapora göre, genellikle standart görüntü izleyicileri tarafından göz ardı edilen bu sondaki veriler, saldırganların kötü niyetli içeriği açık bir şekilde gizlediği klasik bir steganografi ayırt edici özelliğidir.
Analiz sırasında işaretlenen eklenen içerik, Xavier’in önemli bir ipucu olarak işaret ettiği “TVQQ” karakterleriyle başlayan kodlanmış veriler içeriyordu.
İkili verilere aşina olanlar için, “TVQQ”, Windows yürütülebilir ürünlerle ilişkili taşınabilir yürütülebilir (PE) dosyaları için sihirli üstbilgi “MZ” kodlaması olarak anında tanınabilir.
Bununla birlikte, Base64 dize içindeki “@” karakterinin varlığı, standart Base64 karakter setinden saptığı için kırmızı bayrakları yükseltti.
Bu anomali, otomatik kod çözme araçlarını engellemek için tasarlanmış bir gizleme tekniği önerdi.
Daha fazla araştırmak için, byte-stats.py gibi bir komut dosyası kullanılarak yükün baytlarının istatistiksel bir analizi yapıldı.
Sonuçlar ilgi çekici bir model ortaya çıkardı: Alfabedeki her harf “A” dışında yükte ortaya çıktı.
Bu, “@” sembolünün kodlamayı gizlemek için “A” nın yerine kullanıldığı hipotezine yol açtı.
Bu teoriyi test etmek, “@” nin “A” ile değiştirilmesi, Base64 dizesinin base64dump.py gibi bir araç kullanılarak doğru bir şekilde kod çözülmesine izin verdiği için verimli oldu.
Kod çözülmüş çıkış gerçekten de “MZ” başlığı ile başladı ve görüntü içinde gizli bir PE dosyasının varlığını doğruladı.
Kötü amaçlı yükün doğrulanması
Xavier’in bulgularıyla tutarlılığı sağlamak için, kod çözülmüş yükün SHA256 karması hesaplandı ve yayınladığı karma ile karşılaştırıldı.
Araştırmacılar SHA256’yı MD5 üzerinden önceliklendirmek için DSS_DEFAULT_HASH_ALGORITHM’leri ayarlayarak, araştırmacılar uygun karma değerini üretebilir.
Sonuçlar mükemmel bir şekilde eşleşti ve gizli yükün, Xavier’in kötü niyetli olarak tanımladığı .NET DLL ile aynı olduğunu doğruladı.
Bu keşif, dijital varlıklardaki gizli tehditleri ortaya çıkarmak ve doğrulamak için dinamik analizi özel araçlarla birleştirmenin öneminin altını çizmektedir.
Bu dava, siber suçlular tarafından kötü amaçlı yazılımları görüntüler gibi günlük dosyalara gömmek için kullanılan gelişen taktiklerin kesin bir hatırlatıcısı görevi görür.
Saldırganlar, steganografi ve Base64 kodlamasındaki karakterlerin yerine geçme gibi özel gizleme yöntemlerinden yararlanarak geleneksel güvenlik önlemlerini atlayabilirler.
Siber güvenlik profesyonelleri için, bu tehditlerin önünde kalmak, dosya yapılarının derin bir şekilde anlaşılması, kodlama teknikleri ve alışılmadık hipotezleri test etme sürekliliği gerekir.
Xavier’in çalışması sadece gerçek bir dünya tehdidini ortaya çıkarmakla kalmaz, aynı zamanda topluma siber suçla mücadelede analitik yaklaşımlarını geliştirmeleri için ilham verir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin