Bir ulus-devlet siber casusluğunda, Uroboros rootkitinin yeni bir statik analizi, meşhur apt grubu Turla’ya atfedilen, Windows çekirdeği içselleri üzerinde sofistike bir sofistike ve ustalık ekranını ortaya çıkarır.
MD5 karma ED785BBD156B61553AAF78B6F71FB37B tarafından tanımlanan numune ile, bu kötü amaçlı yazılım ilk önce 2014-2015 standı etrafında grubun Elite Teknik Prowess’in bir kanıtı olarak bağlanmıştır.
Uroburos olarak da belirtilen Uroboros, sadece ikili sömürüyü aşan ve kendisini yıkıcı niyet ve mimari yaratıcılıkla işletim sisteminin dokusuna yerleştiren bir tasarım felsefesini sergiliyor.
.png
)
Bu analizden ortaya çıkan şey sadece bir kod parçası değil, on yıl önce hazırlanmış gizli, uzun vadeli kontrol için stratejik bir plandır.
Çekirdek ustalığı ve süreç kaçırma açıklandı
Uroboros’un kalbinde, şaşırtıcı karmaşıklıkla kullanıcı modundan çekirdek moduna giden titizlikle tasarlanmış bir yürütme zinciri yatıyor.
Kötü amaçlı yazılım, sürücü işlevini ve sub_16b78 gibi alt rutinleri bir tablo oluşturmak için kullanır ve sonuçta çekirdek geri çağrılarını kaydetmek için pssetCreateProcessNotifyRoutin kullanır.
Bu geri çağrılar, uroboros’un yeni oluşturulan süreçleri izlemesini ve ele geçirmesini sağlar ve kötü niyetli tasarımını sistemin yaşam döngüsüne cerrahi hassasiyetle enjekte eder.
Bunun ötesinde, Turla’nın oluşturulması Svchost.exe, Service.exe ve Internet Explorer, Firefox ve Chrome gibi popüler tarayıcılar gibi güvenilir süreçleri hedefliyor.
Çalışma süreçlerini numaralandırmak için zwquerysysteminformasyon kullanan uroboros, çok aşamalı enjeksiyonlar için yüksek privilge hedeflerini tanımlar ve saldırı yüzeyini özel tarayıcı bilgileri gibi hassas verileri hasat etmek için genişletirken kalıcılığı sağlar.
İmtiyaz yükseltme ve süreç manipülasyonu için bu karmaşık yaklaşım, Turla’nın pencere içselleri hakkındaki derin anlayışını, uroboros’u işletim sistemi içinde neredeyse görünmez bir yırtıcı olarak konumlandırıyor.
Ağ kalıcılığı ve özel protokoller
Aynı derecede etkileyici olan, Uroboros’un ağ kalıcılığı ve kaçırma yaklaşımıdır.
NDIS.SYS (Network Traffic) ve fwpkclnt.sys (Windows Güvenlik Duvarı) gibi meşru Windows sürücülerini kötüye kullanarak, kötü amaçlı yazılım, çekirdek işlev işaretlerini yürütmeyi sub_4afbc gibi kötü amaçlı rutinlere yönlendirmek için değiştirir.
Bu çekirdek düzeyinde ağ paketlerinin müdahalesi, geleneksel algılama mekanizmalarından kaçarken gizli iletişim sağlar.
Ayrıca, Turla’nın sub_3f23c gibi işlevlerde gözlemlenen özelleştirilmiş bir HTTP protokolü kullanımı, kötü niyetli trafiği meşru internet aktivitesi ile harmanlamaktadır.
Belirli HTTP isteği ayrıştırma (Type == 6), “& A” ile dize karşılaştırmaları ve UNK_65D70 gibi statik tablolara atıfta bulunan XOR şifreleme döngüleri, UroBoros, gizli kanalları korumak için şifreli girişleri şifreliyor.
Rapora göre, çekirdek seviyesi ağ filtreleme ve özel iletişim protokollerinin bu füzyonu, uyarlanabilirlik ve uzun süreli casusluk üzerine stratejik bir odaklanmanın altını çizerek uroboros’u Turla’nın cephaneliğinde zorlu bir araç haline getiriyor.
Bu analiz, birincil özelliklerle sınırlı olsa da, bir rootkit’ten daha fazlası olarak uroboros’un canlı bir resmini boyar-bu mimari yıkım ve cesur yaratıcılığın bir somutlaşmışıdır.
Turla’nın on yıl önce bu tür karmaşık tasarımları Windows çekirdeğine örme yeteneği, saygıyı emretiyor ve sürekli gelişen siber tehdit manzarasının alçakgönüllü bir hatırlatıcısı olarak hizmet ediyor.
Araştırmacılar ve savunucular için uroboros okumak sadece teknik bir egzersiz değil, aynı zamanda siber güvenlik sınırlarına meydan okumaya devam eden bir düşmanın zihniyetine bir yolculuktur.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!