Bilgisayar korsanları, güvenlik önlemlerine zarar vermek ve ihlal edilen sistemlerde zararlı faaliyetlere izin vermek için genellikle dinamik bağlantı kitaplığı (DLL) ele geçirme ve API'lerin kancasını kaldırma yöntemini kullanır.
Bu bağlamda, DLL ele geçirme, uygulamaların harici kitaplıkları yükleme biçimindeki kusurlardan yararlanarak kötü amaçlı kod yüklemelerine olanak tanır.
Öte yandan, API'nin kancadan çıkarılması, süreçlerin sistem API'leriyle etkileşimini değiştirerek bazı izleme mekanizmalarının atlanmasına yardımcı olur.
APT41'in (diğer adıyla Winnti) bir kuruluşa yönelik en son saldırısının izi, 2012'den bu yana aktif olan ve farklı sektör ve ülkelerdeki firmaları aktif olarak hedef alan bir siber tehdit grubu olan Earth Freybug'a kadar uzanıyor.
Trustifi'nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Earth Freybug, alt süreç izlemeyi atlatmak için “DLL ele geçirme ve API kancasını kaldırma” olmak üzere iki mekanizma kullanıyor. UNAPIMON adı verilen yeni ve bilinmeyen bir kötü amaçlı yazılım kullanıyor.
Bu dava, kötü amaçlı yazılım yerleştirmek için orijinal Windows yardımcı programlarından (schtasks.exe, vmtoolsd.exe) yararlanılmasıyla ilgiliydi.
Uzaktan kumandadan önceden hazırlanmış bir toplu komut dosyasını başlatan zamanlanmış bir görev oluşturmak için vmtoolsd.exe'ye kodlar enjekte ederek başladı.
Bu komut dosyası, sistem hakkında geniş ayrıntılar topladı ve ikinci bir komut dosyasını çalıştıran başka bir zamanlanmış görev oluşturdu.
.webp)
İkinci komut dosyası, kötü amaçlı DLL'leri SessionEnv hizmetine yüklemek için DLL yandan yüklemesini ve makineyi saldırgan için bir arka kapıya dönüştüren yeni bir cmd.exe işlemini kullandı.
Uzmanlar, CreateProcessW API'sini bağlayan basit bir C++ DLL'si olan UNAPIMON adlı tuhaf bir kötü amaçlı yazılımın kullanıldığını gözlemledi.
Takma mekanizması yeni askıya alınmış işlemleri başlatır, yüklenen her DLL dosyasının yerel bir kopyasını yükler, askıya alınan işlemde bellek içi bir kopya oluşturur ve yeni işleme devam etmeden önce iki kopyanın eşleştiğini doğrular.
Bu, bir savunma kaçırma tekniği olarak alt süreçlerde yüklü DLL'lerin izlenmesini zorlaştırır.
UNAPIMON, askıya alınan alt süreçte yüklenen her DLL için üstbilgileri ve dışa aktarılan işlev ayrıntılarını karşılaştırarak bellek içi kopyanın yerel kopyayla eşleştiğini doğrular.
Dışa aktarılan işlevlerden herhangi birinin değiştirilip değiştirilmediğini (bağlanıp bağlanmadığını) kontrol etmek için kodun ilk birkaç baytını analiz eder. Bağlanan tüm işlevler daha sonra, yerel DLL kopyasındaki orijinal baytlarla değiştirilen kodun üzerine yazılarak “düzeltme eki kaldırılır”.
Bu, yürütmeye izin vermeden ve izlemeden kaçmadan önce alt sürecin yüklenen DLL'lerine uygulanan tüm kancaları/yamaları kaldırır.
UNAPIMON, boşaltıldığında CreateProcessW kancasını kaldırır.
UNAPIMON, alt süreçlerde izlenen API işlevlerinin kancasını kaldırmayı, korumalı alanlardan ve diğer API kancalamaya dayalı izlemelerden kaçınmayı amaçlamaktadır.
Orijinalliği, Microsoft Detours gibi mevcut araçları yaratıcı bir şekilde kullanmasıdır; kötü amaçlı yazılımın kancayı takması yerine, çalıştırılmadan önce bağlı tüm işlevlerin kancasını kaldırır.
Bu basit ama etkili teknik, kötü amaçlı yazılım yazarının sıradan kitaplıkları kötü amaçlı olarak yeniden kullanma konusundaki kodlama becerilerini sergiliyor.
UNAPIMON, API kancalarını kaldırarak kötü amaçlı alt süreçlerin izlenmeden yürütülmesine olanak tanır.
Yönetici ayrıcalıklarının sınırlandırılması, saldırı olasılıklarını sınırlayan en az ayrıcalık ilkesine uygundur.
Earth Freybug, eski kalıplara basit ama etkili yöntemler uygulayarak tespitini zorlaştırarak stratejilerini zaman içinde geliştiriyor.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide