Siber saldırganlar kaçınma yöntemlerini sürekli olarak geliştiriyorlar. Kimlik avı da dahil olmak üzere tehditleri tespit etmek ve araştırmayı giderek zorlaştıran şey budur.
Tycoon 2FA gibi kitler, cephaneliğine yeni hilelerle düzenli olarak gelişiyor. Geçmiş savunmaları kaydırıyorlar ve şirketleri tehlikeye atıyorlar ve modern siber tehditlerde büyük uyarlanabilirlik gösteriyorlar.
Tycoon 2FA’nın üç temel kaçırma tekniğini kullanarak Any. run etkileşimli sanal alan.
Teknik #1: Farklı Captchas kullanımı (Recaptcha, Iconcaptcha, vb.)
Tehdit başına tek bir Captcha sistemi kullanmak yerine, Tycoon 2FA, Recaptcha, Iconcaptcha ve özel captchas gibi farklı sağlayıcılardan geçiyor.
Bu rotasyon, imza tabanlı algılama sistemlerine ve bot güdümlü analiz araçlarına meydan okur. Bu kaçırma tekniğini tutarlı bir şekilde atlayamıyorlar.
Örneğin, Tycoon 2FA’nın aşağıdaki analiz oturumunda, daha önce kullanılan özel captcha, Recaptcha ile değiştirildi:
Analizi Görüntüle
Recaptcha Tycoon 2FA’da, herhangi birinde gösterildiği gibi. Run Sandbox
Iconcaptcha gibi diğer sağlayıcılar daha önce de tespit edildi (örneğin 7 Nisan 2025 tarihli sunum).
Herhangi birinde proaktif analizle algılamayı hızlandırın ve basitleştirin.
Teknik #2: Tarayıcı parmak izi
Bu tekniği kullanarak, Tycoon 2FA kimlik avı kiti gerçek kullanıcıları analiz için ortamlardan ayırabilir.
Parmak izi, kullanıcının sistemi hakkında ekran parametreleri, saat dilimi, tarayıcı detayları vb.
Bu verilere dayanarak, tehdit kimlik avı içeriğine devam edip etmeyeceğine veya kullanıcıyı meşru bir sayfaya yönlendirmeye karar verir. Bu, sanal alan tabanlı savunmaları silahsızlandırarak tespit riskini önemli ölçüde azaltır.
Aşağıdaki durumda, kimlik avı bağlantısını açmak, görüntü öğesi isteyen ve bir hata durumunda Base64 kodlu komut dosyasını yürüten bir sayfaya yol açar:
Analizi Görüntüle
Görüntü öğesinde şüpheli onerror işleyici
Komut dosyasını CyberChef ile kodlarsak, bunun toplanması gerektiğini ortaya çıkaracaktır:
- Ekran parametreleri, tarayıcı/platform adı, URL, ana bilgisayar, protokol, konsol özellikleri ve belge gövdesi gibi tarayıcı verileri.
- Saat dilimi, JavaScript çalışma zamanı içselleri, IFrame kontrolleri ve grafik arayüz özellikleri hakkında bilgi.
- Diğer teknik bilgiler.
Tarayıcı özelliklerini toplamak için kullanılan kod
JSON’da toplanan veriler daha sonra görünmez bir forma eklenir ve bir sonrası isteği yoluyla saldırganın sunucusuna gönderilir.
Sunucu parmak izi verilerini analiz eder ve bir konum başlığı ile bir yanıt döndürür. Alınan verilerin özelliklerine dayanan iki olası sonuç vardır:
- Meşru bir sayfaya yeniden yönlendirme: Toplanan bilgi, bir şeyin kapalı olduğunu gösterirse, örneğin, bir sanal alan belirtileri var, kullanıcı Emirates, Tesla veya SpaceX web sitesi gibi meşru bir siteye yönlendirilir.
- Kimlik Yardım Sayfasına Yeniden Yönlendirin: Aksi takdirde, çevre gerçek görünüyorsa, kullanıcı Tycoon 2FA Aşama 1 Kimlik avı sayfasına yönlendirilir.
Teknik #3: Şifreleme yoluyla gizleme
Tycoon2FA’nın önceki sürümleri Base64 veya XOR gibi daha basit bir şaşkınlığa dayanırken, daha yeni örnekler, yük yükü için AES şifrelemesi kullanıyor. Bu, tespiti önemli ölçüde karmaşıklaştırır.
Statik analiz, özellikle sert kodlanmış anahtarlar ve başlatma vektörleri (IV’ler) koda gömüldüğünde çok daha zor hale gelir.
Bu örnekte, Tycoon2FA’nın yalnızca yürütmenin son aşamalarında çalıntı ve hizmet verilerini yüklemek/indirmek için değil, yük yükü için AES şifrelemesi kullandığını gözlemleyebiliriz:
Analizi Görüntüle
Kodda şifreleme yoluyla gizleme
Aksi takdirde yürütme zinciri daha önce bilinene benzer olsa da, AES düzeyinde gizleme, ters mühendislik ve tespit için çok daha fazla çaba gerektirir.
Yeni kötü amaçlı yazılım taktiklerinde canlı web semineri
En son, en alakalı TTP’ler hakkında daha fazla bilgi edinin ve bunları Web Seminerinde herhangi bir.run tarafından nasıl verimli bir şekilde algılayacağınızı öğrenin.
17 Eylül Çarşamba günü saat 15: 00’de GMT’ye katılın.
Yeni Kötü Yazılım Taktikleri: SOCS için Kılıflar ve Tespit İpuçları: Web Semineri’ne kaydolun
Sonuç: Kaçma taktiklerini herhangi biriyle yıkmak. Run
Bu kaçırma teknikleri, tehdit aktörleri tarafından kullanılan sürekli gelişen tüm TTP’lerin sadece küçük bir kısmıdır. Otomasyon ve imzaya dayalı analize çok fazla dayanan geleneksel çözümlerin kendilerine karşı verimsiz olduğu kanıtlanmıştır.
Derinlemesine davranışsal, etkileşimli, otomatik olmayan analiz ile daha iyi sonuçlar görebilirsiniz. Herhangi bir şey budur.
- Gerçek zamanlı etkileşim: Davranışını gözlemleyerek ve araştırarak kötü amaçlı yazılımları özetlediğinden analiz edin.
- Hızlı Sonuçlar: Analiz sürenizi sadece dakikalara düşürmek için lansman sırasında kararlara bakın ve kötü amaçlı yazılım ailelerini 40 saniyenin altında tanımlayın.
- Ayrıntılı davranış analizi: Modern tehdit taktikleri, teknikleri ve kapsamlı araştırmalar için prosedürler konusunda net bir görünürlük kazanın.
- Verimli Otomasyon: Tehditleri otomatik etkileşim ile eller serbest bırakın ve zaman alıcı rutin görevleri otomatikleştirerek iş yükünüzü kesin.
SOC ekipleri için derinlemesine araştırma ve proaktif savunma: Herhangi bir deneyin.