C# ile yazılmış ve gelişmiş işlevlere sahip yeni, gelişmiş bir kötü amaçlı yazılım keşfedildi.
Bu yeni kötü amaçlı yazılıma Xeno RAT adı verildi ve tespitten kaçma, yük oluşturma ve tehdit vektörünü ekleme yeteneğine sahip. Ayrıca GitHub’da açık kaynak olarak da mevcut.
Üstelik kötü amaçlı yazılım, süreç enjeksiyonu, gizleme, hata ayıklama önleme, C2 iletişimi ve tespit edilmesini daha da karmaşık hale getiren diğer birkaç tekniği kullanıyor.
Bu kötü amaçlı yazılımın birincil tehdit vektörü, Kısayol dosyasının ve çok aşamalı yük indiricisinin kullanılmasıdır.
Xeno RAT, Windows DLL Aramasını Kötüye Kullanıyor
Cyber Security News ile paylaşılan raporlara göre, bu kötü amaçlı yazılım başlangıçta “WhatsApp_2023-12-12_12-59-06-18264122612_DCIM.png.lnk” olarak adlandırılan bir kısayol dosyası (.lnk) olarak dağıtılıyordu.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Bu LNK dosyası bir indirici görevi görür ve Discord CDN URL’sinde bulunan bir ZIP arşivinden yükü indirmek ve yürütmek için Windows Komut Kabuğunu kullanır.
Birinci Aşama Uygulama
LNK dosyası, Discord CDN sunucusundan iki dosya indiren, iki kısaltılmış URL’ye sahip, karmaşık komut satırı argümanlarından oluşur.
Dosyalardan biri kötü amaçlı olmayan bir dosya, diğeri ise faydalı yük ZIP arşividir. Bu ZIP indirilir ve “C:\Users\user\AppData\Roaming\Adobe\Drivers” dizinine çıkarılır.
Bu ZIP arşivi, EXE ve DLL uzantılı iki taşınabilir yürütülebilir dosyadan oluşan üç dosyadan oluşur ve üçüncü dosya, LICENSE adı altında bilinmeyen bir dosyaydı.
EXE dosyası, Windows Sysinternals tarafından sağlanan bir aktif dizin görüntüleyicisi ve düzenleyicisi olan ADExplorer.exe adı altında bulundu.
DLL dosyası (samcli.dll), “Güvenlik Hesapları Yöneticisi İstemcisi DLL” adını taklit eden kötü amaçlı yüktür.
DLL dosyası imzalanmış olmasına rağmen imza doğrulanmadı. LİSANS dosyası okuma/yazma izinlerine sahip karmaşık metin içeriyor.
İkinci Aşama Uygulama
Bu aşamada LNK dosyasındaki diğer komutlar herhangi bir komut gerektirmeden ADExplorer.exe dosyasını başlatır.
Bu ADExplorer.exe, işlevleri için samcli.dll dosyasını kullanır ve Geçerli Çalışma Dizininde aynı ada sahip kötü amaçlı bir DLL dosyasını konumlandırarak Windows işletim sisteminin DLL arama sırası işlevinden yararlanır.
Bu yapılırken ADExplorer.exe işlemine samcli.dll yüklenir. Bu ADExplorer.exe işlemi, “hh.exe” adında askıya alınmış bir işlem oluşturur ve işlem enjeksiyonunu gerçekleştirir.
Ayrıca ADExplorer.exe mevcut çalışma dizininde “Guide.lnk” ve “Support.url” adlı iki kısayol dosyası da oluşturur.
URL dosyası, ilk indirilen LNK dosyasıyla aynı işlevi gören Guide.lnk dosyasına işaret eder.
Üçüncü Aşama Uygulama ve Son Aşama Uygulama
Üçüncü aşamada, hh.exe işlemi başka bir askıya alınmış işlem olan “colorcpl.exe”yi oluşturur ve başka bir işlem enjeksiyonu gerçekleştirir.
Bu colorcpl.exe, hh.exe tarafından sonlandırılır ve ardından “explorer.exe” işlemi altında devam ettirilir. Son aşamada colorcpl.exe, kurban makinede herhangi bir Xeno RAT kurulumunun olup olmadığını kontrol eder.
Kötü amaçlı yazılım hiçbir yerde bulunamazsa süreç, C2 alanı dahili canlı uygulamalarıyla iletişim kurmaya başlar.[.]çevrimiçi ve 45’e çözümleniyor[.]61[.]139[.]51 IP. C2 arasındaki iletişim engellendi.
Bu Xeno RAT, izleme, analizden kaçınma, Gizli VNC, C2 sunucusuyla SOCKS5 proxy bağlantısı, Zamanlanmış Görevlerde kalıcılık, süreç enjeksiyonu, ağ trafiğini gizleme, C2’den komut yürütme, durum güncellemeleri ve daha birçok işlevselliğe sahiptir.
Uzlaşma Göstergeleri
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.