Ortadoğu’daki kritik ulusal altyapıyı hedefleyen sofistike bir siber saldırı, tehdit aktörlerinin tehlikeye atılan sistemlere kalıcı erişimi korumak için Windows görev zamanlayıcısını nasıl kullandıklarını ortaya koydu.
Saldırı, tahribat çerçevesinin kötü niyetli bir varyantını, iyi bilinen bir sömürme sonrası komut ve öncelikle C ++ ve GO ile yazılmış arka kapıyı kontrol ederek sistem infiltrasyonu ve uzun süreli kalıcılık için gelişmiş teknikler gösteriyor.
Kötü amaçlı yazılım kampanyası, kritik altyapıyı hedeflemede önemli bir artışı temsil eder ve saldırganlar dikkatle hazırlanmış kalıcılık mekanizmaları yoluyla sistemlere uzun süreli erişimi başarıyla sürdürür.
.png
)
Saldırı vektörü, Windows 7’den bu yana Windows işletim sistemlerinin standart bir bileşeni olan meşru Windows Konsolu Ana Bilgisayar İşlemi (Conhost.exe) olarak gizlenen gizlenmiş bir uzak enjektörü kullanır.
.webp)
Bu stratejik aldatma, kötü amaçlı yazılımların meşru sistem süreçleriyle sorunsuz bir şekilde karışmasını sağlar ve güvenlik izleme araçları tarafından tespit olasılığını önemli ölçüde azaltır.
Fortinet analistleri, Orta Doğu kritik ulusal altyapısını hedefleyen müdahale ile ilgili soruşturma sırasında bu sofistike saldırıyı belirlediler.
Araştırmacılar, saldırganların sistem yeniden başlatılmasından veya güvenlik müdahalelerinden sonra bile sürekli erişim sağlamak için sistemin görev zamanlayıcısına stratejik olarak birden fazla kötü amaçlı bileşen yerleştirdiğini keşfettiler.
Kötü amaçlı yazılımların kalıcılık stratejisi, Windows sistemi mimarisi ve güvenlik mekanizmalarının derin bir anlaşılmasını göstermektedir.
Saldırı, conhost.exe olarak gizlenmiş kötü amaçlı bir dosyanın yürütülmesiyle başlar. C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER --ln --path cmd.exe.
.webp)
Bu komut yapısı, “-f” parametresinin conhost.dll içinde bulunan şifreli tahribat yükünü belirtirken, “–Path” parametresi enjeksiyon için hedef işlem olarak cmd.exe’yi belirtir.
Enjeksiyon ve şifre çözme mekanizması
Uzaktan enjektör, tahribat yükünü dağıtmak için gelişmiş proses enjeksiyon teknikleri kullanır.
Yürütme üzerine, CreateProcessa () API’sını kullanarak yeni bir CMD.EXE işlemi oluşturur ve kötü amaçlı yük için ana bilgisayar görevi gören meşru bir süreç oluşturur.
Enjektör daha sonra, Conhost.dll dosyası içindeki gömülü kabuk kodunu kullanarak hasar aracısını, DLL dosyasının ilk 48 baytından türetilen şifre çözme anahtarı ve başlatma vektörü ile şifresini çözer.
Enjeksiyon işlemi, hem şifre çözülmüş kabuk kodunu hem de HAVOC yürütülebilir dosyayı yeni oluşturulan CMD.EXE işlemine enjekte etmek için ZwallocateVirtualMemory () ve ZWWriteVirtualMemory () dahil olmak üzere düşük seviyeli Windows API’lerini kullanır.
Son olarak, kötü amaçlı yazılım, enjekte edilen kabuk kodunu yürüten ve meşru sistem etkinliğinin görünümünü korurken hasok arka kapıyı etkili bir şekilde dağıtan hedef işlem içinde bir uzak iş parçacığı oluşturarak Zwcreatethreadex () aracılığıyla yürütme oluşturur.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi