Windows Kullanıcılarına Saldıran Yeni TicTacToe Kötü Amaçlı Yazılım Damlası


Kötü amaçlı yazılımlar, işletim sisteminin yaygın popülaritesi nedeniyle sıklıkla Windows kullanıcılarını hedef alıyor ve bu da onu tehdit aktörleri için kazançlı bir hedef haline getiriyor.

Windows sistemleri, daha geniş kullanıcı tabanları ve güvenlik açıklarının çoğunluğu nedeniyle tarihsel olarak daha savunmasız olarak algılanmıştır.

FortiGuard ekibi yakın zamanda 2023’te çeşitli son aşama yüklerini dağıtan bir dizi kötü amaçlı yazılım düşürücü keşfetti.

Cyber ​​Security News (CSN) ile paylaşılan bir raporda Fortinet, bu yazılımların Leonem, AgentTesla, SnakeLogger, RemLoader, Sabsik, LokiBot, Taskun, Androm, Upatre ve Remcos dahil olmak üzere tanımlanmış bazı veri yükleri ile birden fazla aşamada gizlenmiş veri yükleri kullandığını doğruladı.

‘TicTacToe damlalığı’ olarak adlandırılan grup, TicTacToe’yu yorumlayan ortak bir Lehçe dili dizisi olan ‘Kolko_i_krzyzyk’ ile tanımlanır.

Belge

Canlı Hesap Devralma Saldırısı Simülasyonu

Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.

Teknik Analiz

Güvenlik analistleri, kimlik avı eklerindeki (T1566.001) .iso dosyaları aracılığıyla kötü amaçlı yazılım dağıtan damlalık örnekleri buldu. Bu teknik, antivirüs tespitinden kaçmayı ve web işaretini atlamayı (T1553.005) kullanmayı amaçlayan kötü amaçlı yazılımların iso dosyalarında gizlenmesine yardımcı olur.

ISO, çalışma zamanında kodu çözülen katmanlı DLL dosyalarını içeren bir yürütülebilir dosya içeriyordu ve bunun yanı sıra, çıkarma işlemi karmaşıktı.

TicTacToe damlalık çıkarma işlemi (Kaynak - Fortinet)
TicTacToe damlalık çıkarma işlemi (Kaynak – Fortinet)

Damlalıkçı, bir yıldan fazla bir süre boyunca sürekli olarak çeşitli uzaktan erişim araçlarını (RAT’lar) paylaştı. İlk örnek olan ‘ALco.exe’ (SHA-1 b6914b8fa3d0b67eb6173123652b7f0682cd24fb), 32 bitlik bir .NET yürütülebilir dosyasıdır. Yürütme üzerine, bir .NET PE DLL dosyasını diske yazmadan doğrudan belleğe yükler.

PE DLL dosyasını dnSpy aracındaki EXE damlalığından çıkarma (Kaynak - Fortinet)
PE DLL dosyasını dnSpy aracındaki dropper EXE’den çıkarma (Kaynak – Fortinet)

Uzmanlar, DLL’yi çalışma zamanında ‘Hadval.dll’ veya ‘stage2 yükü’ olarak adlandırarak çıkardılar. Bu 32 bit .NET PE DLL, DeepSea 4.1 ile karartılmıştır ve birincil yürütülebilir dosyanın karartmasından (belirsiz sürüm) farklı, okunamayan işlev adlarına ve kod akışı karartmasına sahiptir.

dnSpy aracında gösterilen Hadval.dll dosyasının gizlenmiş kodu (Kaynak - Fortinet)
dnSpy aracında gösterilen Hadval.dll dosyasının gizlenmiş kodu (Kaynak – Fortinet)

Açık kaynaklı bir .NET kod gizleme aracı olan De4dot, Hadval.dll dosyasındaki DeepSea 4.1 gizlemeyi başarıyla bozdu. Araç, C# kullanarak daha temiz bir sürüm sağlayarak dosyayı algıladı ve karmaşıklığını kaldırdı.

Orta düzey veri yükü hadval.dll'nin gizliliğini kaldırma (Kaynak - Fortinet)
Orta düzey veri yükü hadval.dll’nin gizliliğini kaldırma (Kaynak – Fortinet)

Güvenlik analistleri ‘ALco.exe’de hata ayıklarken Hadval.dll’nin SmartAssembly tarafından korunan 32 bit PE DLL’yi (‘cruiser.dll’) ortaya çıkararak bir gzip blobu çıkardığını buldu.

SmartAssembly, fikri mülkiyet hırsızlığını önleyen gizleme ve şifreleme kullanarak .NET kodunu tersine mühendislikten korur. Ancak bu bilgi ‘Kolay Algıla’ aracı kullanılarak görülebilir.

Kolay Algılama (Kaynak - Fortinet)
Kolay Algılama (Kaynak – Fortinet)

De4dot, temp klasöründe yürütülebilir dosyanın bir kopyasını oluşturan bir ‘Munoz’ sınıfını ortaya çıkararak cruiser.dll dosyasını temizledi ve bu yük, Jai Minton tarafından analiz edilenle aynı hizada.

Cruiser.dll kodu, ‘dZAu’ bitmap nesnesinden 4. aşama yükünü (‘Farinell2.dll’) çıkarır ve çalıştırır.

Antivirüs motorları son yükü ‘Zusy Banking Trojan’ veya ‘Leonem’ olarak tanıdı; bazı araştırmacılar tarafından ‘TinyBanker’ veya ‘Tinba’ olarak da bilinir.

benzerlikler

Aşağıda, farklı TicTacToe damlalık örneklerindeki tüm benzerliklerden bahsettik: –

  • Çok aşamalı katmanlı yükler.
  • Dropper, tüm .NET yürütülebilir dosyalarını/kütüphanelerini yükler.
  • SmartAssembly yazılımı kullanılarak bir veya daha fazla verinin karartılması.
  • Karışık yüklerin paketini açmak için kullanılan DLL dosyalarının iç içe yerleştirilmesi.
  • Tüm yük taşıma aşamaları yansıtıcı olarak yüklendi.
  • Çoğu birincil .NET verisi, değişen durumlarda 3 ila 8 harfin birleşiminden oluşan dahili adlara sahipti.
  • Birçok numunenin teslim edildikleri ay için ortak dizeleri vardı.
  • Örneklerden bazıları kendisinin bir kopyasını oluşturmaya çalışır.

Damlalık çeşitli yüklere hizmet ettiğinden, çeşitli bir kullanıcı tabanına sahip olduğu açıktır. Ancak çeşitli veri türlerini durdurmak için bunun anlaşılması ve uygulanmasının engellenmesi önemlidir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.





Source link